安全與漏洞揭露
如何安全回報可能影響 AnimeCliff、使用者資料或供應鏈的問題。
此版本為營運草案,正式公開營運前應經法律專業人士檢視。正式發布門檻尚缺:LEGAL_OPERATOR_NAME、LEGAL_CONTACT_EMAIL、PRIVACY_CONTACT_EMAIL、SECURITY_CONTACT_EMAIL、LEGAL_JURISDICTION、LEGAL_EFFECTIVE_DATE。
回報管道
安全問題請寄至 尚未配置(正式發布將被阻擋)。請提供受影響 URL/元件、重現步驟、影響、時間與可安全分享的證據;不要寄送 token、密碼、完整私人資料或第三方資料庫。
安全基線
服務以 PostgreSQL RLS、local-first 儲存、TLS 傳輸、最小權限、管理權限分離、append-only audit、加密離站備份與事件應變流程降低風險。這些控制不代表 100% 安全,也不保證事件永遠不會發生。
研究邊界
- 不得存取、修改、下載或公開不屬於你的資料。
- 不得造成阻斷服務、垃圾郵件、社交工程、實體攻擊或供應鏈破壞。
- 發現資料暴露後應停止並立即通報;未經書面同意不要持續擴大測試。
- 本政策與 security.txt 不代表授權任何原本違法或未獲許可的行為。
處理方式與目標
目標是在 3 個工作日內確認收件,接著分類嚴重度、保存證據、減害、修復、驗證,並在適當時通知受影響使用者;實際修復時間依影響與複雜度而定。此目標不是保證,也不構成固定 SLA、獎金或安全港。
公開與致謝
請在公開漏洞前協調合理修復時間。是否致謝、何時公開與揭露細節由雙方依風險另行確認;不會要求研究者隱瞞仍影響公眾安全的未處理風險。
Machine-readable policy
/.well-known/security.txt 依 RFC 9116 提供 Contact、Expires、Preferred-Languages、Canonical 與 Policy。缺少真實 security contact 時會回 503,不會發布假地址。