🔒 安全策略
在 Open WebUI,保护用户数据的安全性和机密性是我们的首要任务。我们的技术架构和开发流程旨在最大程度地减少漏洞,并维护利益相关者对我们的信任。定期的评估、代码库审查以及系统地采用最佳实践方法,确保安全在我们的项目生命周期中始终占据核心地位。
我们采用自动化和手动技术相结合的方式来应对不断演变的威胁,并持续改进我们的方法,包括计划集成先进的静态和依赖分析工具。我们的重点始终是主动的风险管理和负责任地处理任何报告的漏洞。
支持的版本
| 版本 | 支持 |
|---|---|
| main | ✅ |
| 其他 | ❌ |
何处以及如何报告安全漏洞
Open WebUI 社区的蓬勃发展离不开像您一样,深切关心如何让软件对每个人都更安全的人。
为确保您的发现真正有助于保护用户并得到迅速处理,请仅通过我们的官方 GitHub 安全页面提交所有安全漏洞报告。任何其他网站、服务或所谓的“赏金”平台都不隶属于我们,您的重要工作将无法触达能够解决问题的人。
我们知道,信任那些做出宏大承诺的平台可能很诱人,但只有 GitHub 能将您直接连接到守护 Open WebUI 的团队。请务必让您的警惕真正造福社区,在此处报告,这里才是关键所在。
Open WebUI 的所有安全漏洞必须且仅能通过我们的官方 GitHub 仓库报告:https://github.com/open-webui/open-webui/security。
我们致力于维护一个安全的环境,确保所有安全漏洞报告仅通过我们的官方 GitHub 平台进行管理。通过在 GitHub 集中处理披露,我们保证每个报告都会由项目维护者透明、高效和保密地处理。这种方法使我们能够为贡献者和用户提供最高水平的可见性、责任感和保证,确保所有与安全相关的通信和解决方案都得到充分记录和可靠管理。通过 GitHub 以外的任何平台、渠道或第三方服务提交的报告无法纳入我们的官方安全工作流程,因此可能无法为 Open WebUI 的安全做出贡献。
为什么只通过 GitHub?
我们致力于单一、集中的报告机制,这既源于技术上的严谨性,也源于道德上的管理责任。
- 完整性和可追溯性: 仅通过 GitHub 管理报告可确保每个问题都在开源生态系统内处理,社区可以验证过程、结果和贡献者的责任。
- 用户安全: 其他声称协助漏洞披露、提供奖励或赏金计划的网站与 Open WebUI 无关。向此类平台提交漏洞不仅无法使项目更安全,还可能无意中将敏感细节置于被滥用或未经授权披露的风险之中。
- 保护社区: 当信息绕过我们集中的安全工作流程时,项目不仅更容易受到未修复漏洞的攻击,还更容易受到误导性或利用性做法的传播。尽管外部网站声称充当中介或支付赏金,但这些实体不向用户提供任何保证,并可能以激励为幌子鼓励可疑或不安全的行为。最终,只有通过我们的 GitHub 进行的披露才能确保您的专业知识按预期造福整个生态系统。
报告指南
为确保建设性且迅速的修复过程,请遵守以下要求:
- 仅提交详细报告:模糊或笼统的陈述,例如“我发现了一个漏洞”而没有可操作的细节,将不予接受并被归类为垃圾邮件。
- 展示理解:需要清晰、简洁的描述,并提供影响或可利用性的证据。请具体说明组件、受影响的版本和重现步骤。
- 需要概念验证 (PoC):提交内容必须包含可运行的概念验证 (PoC)。私有分支可用于负责任的披露——必须与相关维护者共享访问权限。
- 期望提供修复指导:高质量的报告在附带建议的补丁或直接、可操作的缓解步骤时最有价值。这能简化我们的审查和解决时间表,并表明对项目持续健壮性的承诺。
那些不仅发现漏洞,还提供健壮且可立即合并修复方案的贡献者,有助于加速我们的响应并增强社区。我们确实认可并优先考虑此类努力,对于提供全面解决方案的人员,可能会有额外的表彰机会。
所有不符合要求或偏离主题的提交都将被关闭。重复滥用可能导致被禁止为项目做出贡献。
沟通与补偿
所有威胁评估和后续处理均由核心项目团队审查,这使我们能够直接评估、优先处理和解决问题。尽管我们提倡负责任的披露并高度重视有技能的贡献,但整个过程——包括认可——仍由维护者全权决定,并在 GitHub 内部处理。提供可操作修复方案的贡献者可能会根据其报告的影响获得额外致谢。
产品安全流程
- 对我们的架构和管道进行内部和定期的外部审查
- 对前端和后端进行自动化和手动测试
- 作为持续开发的一部分,进行主动风险管理和代码审查
- 持续改进并集成用于静态/动态分析的先进工具