SECURITY
安全与漏洞披露
安全边界
- 桌面应用使用系统浏览器 OAuth、PKCE 和随机本机回调端口。
- OAuth Token 优先保存于操作系统钥匙串。
- 浏览器扩展桥只监听
127.0.0.1,受随机配对令牌保护。 - URL 导入阻止本机、内网、链路本地和保留地址。
- HTML 默认使用安全预览;交互预览必须由用户主动开启并仍处于 sandbox。
如何报告
邮件主题请使用“DriveBridge Security”。请提供受影响版本、复现步骤、影响范围和建议修复方式。不要发送真实 OAuth Token、配对令牌、密码或不必要的用户文件。
负责任测试
- 只测试你拥有或明确获准测试的账号、电脑和文件。
- 不要访问、修改或公开其他用户数据。
- 不要实施拒绝服务、批量扫描、社交工程或破坏性操作。
- 在公开披露前给出合理的修复和发布窗口。
范围说明
Google、Apple、Chrome、Edge、目标网站及其他第三方产品的问题应报告给相应厂商。DriveBridge 无法为第三方基础设施签发奖励或承诺响应时限。