安全

Flutter 团队认真对待 Flutter 及其应用程序的安全性。本页描述了如何报告您可能发现的任何漏洞，并列出了最大限度地降低引入漏洞风险的最佳实践。

Flutter 安全策略基于五个关键支柱

• 识别：通过识别核心资产、关键威胁和漏洞来跟踪和优先处理关键安全风险。
• 检测：使用漏洞扫描、静态应用程序安全测试和模糊测试等技术和工具来检测和识别漏洞。
• 保护：通过缓解已知漏洞并保护关键资产免受源威胁来消除风险。
• 响应：定义报告、分类和响应漏洞或攻击的流程。
• 恢复：建立在最小影响下控制和从事件中恢复的能力。

在报告静态分析工具发现的安全漏洞之前，请考虑查看我们的 已知误报列表。

请将安全漏洞报告至 https://g.co/vulnz，并包含问题的描述、您重现问题的步骤、受影响的版本以及（如果已知）问题的缓解措施。我们使用 g.co/vulnz 进行初步处理，并在 GitHub 上进行协调和披露（包括使用 GitHub 安全公告）。Google 安全团队将在 g.co/vulnz 收到您的报告后的 5 个工作日内回复您。

您也可以通过我们的公共 Discord 聊天频道联系团队；但是，请务必同时向 g.co/vulnz 报告漏洞，并避免在公开场合泄露可能危及用户的信息的漏洞信息。

在解决您报告的安全漏洞时，您应该期望与我们密切合作。如果您在上述 5 个工作日内未收到 g.co/vulnz 报告的回复，请联系 security@flutter.dev。

有关我们如何处理安全漏洞的更多详细信息，请参阅我们的 安全策略。

如果您认为现有的 GitHub issue 与安全性相关，我们要求您同时向 g.co/vulnz 报告问题，并向 security@flutter.dev 发送电子邮件。该电子邮件应包含 GitHub issue ID 以及简短的描述，说明为什么应根据此安全策略处理该问题。

安全报告不会在 GitHub issue 数据库中明确跟踪。我们使用 GitHub 的安全公告功能来跟踪公开的安全报告。

我们承诺为当前在 stable 分支上的 Flutter 版本发布安全更新。

我们将安全报告视为 P0 优先级级别。这意味着我们会尝试尽快修复它们。根据我们的发布计划，我们将发布一个新的 beta 版本或针对我们 SDK 的最新稳定版本中的任何重大安全报告的稳定热修复，以确保最快的修复速度。

针对 flutter 网站（如 docs.flutter.dev）报告的任何漏洞不需要发布，将在网站本身中修复。

使用或贡献 Flutter 的非 Google 团队也欢迎将 Flutter 纳入其漏洞赏金计划的范围。要将您的计划列出，请联系 security@flutter.dev。

Google 认为 Flutter 属于 Google 开源软件漏洞奖励计划的范围。

接收安全更新的最佳方式是订阅 flutter-announce 邮件列表或关注 Discord 频道的更新。我们还在技术发布博客文章中宣布安全更新。

• 保持 Flutter SDK 的最新版本。 我们会定期更新 Flutter，这些更新可能会修复先前版本中发现的安全缺陷。

• 保持应用程序的依赖项最新。 确保您 升级您的包依赖项 以保持依赖项的最新状态。避免将依赖项固定到特定版本，如果您这样做，请确保定期检查您的依赖项是否已进行安全更新，并相应地更新固定版本。

• 保持您的 Flutter 副本最新。 私有、自定义版本的 Flutter 往往会落后于当前版本，并且可能不包含重要的安全修复和增强。相反，请定期更新您的 Flutter 副本。如果您正在进行更改以改进 Flutter，请确保更新您的 fork 并考虑与社区共享您的更改。