Skip to content

Security: OpenMOSS/SummerQuest-2026

Security

SECURITY.md

安全与凭据泄露处置

不要公开报告敏感信息

如果发现以下内容,不要创建包含原文的公开 Issue:

  • App Secret、Token、Cookie、密码或私钥。
  • 实验室内部服务器地址、账号或数据。
  • 组内飞书正文、未公开项目或个人隐私。

请通过实验室飞书私聊课程助教,说明受影响的文件、commit/PR 和时间;凭据内容本身只通过助教指定的安全渠道提供。

凭据已经泄露时

  1. 立即停用或轮换凭据。
  2. 通知课程助教和凭据所有者。
  3. 清理 Git 历史、PR 附件或飞书版本记录。
  4. 验证旧凭据失效并检查异常访问。
  5. 修复存储和日志方式后再恢复服务。

删除当前分支中的文件并不能清除已经进入 Git 历史、fork、通知邮件或缓存的内容。

仓库防护

仓库校验和 gitleaks 只是一层辅助防线,不能证明内容可以公开。提交者负责检查公开性,助教负责在合并前复核;仓库管理员还应启用 branch protection、required review 和 GitHub secret scanning/push protection。

There aren't any published security advisories