安全性

Dart 团队非常重视 Dart 本身及其相关应用程序的安全性。 此页面介绍如何报告您发现的任何漏洞，并列出最大限度地降低引入漏洞风险的最佳实践。

Dart 的安全策略基于五个关键支柱：

• 识别 : 通过识别核心资产、主要威胁和漏洞来跟踪和优先处理关键安全风险。
• 检测 : 使用漏洞扫描、静态应用程序安全测试和模糊测试等技术和工具来检测和识别漏洞。
• 保护 : 通过减轻已知漏洞并保护关键资产免受源威胁来消除风险。
• 响应 : 定义流程以报告、分类和响应漏洞或攻击。
• 恢复 : 建立能力，以最大限度地减少影响，从而应对和恢复事件。

要报告安全问题，请使用 https://g.co/vulnz。 协调和披露工作在 dart-lang GitHub 仓库（包括 GitHub 安全建议）中进行。 请包含问题的详细描述、您采取的创建问题的步骤、受影响的版本以及该问题的任何缓解措施。 Google 安全团队将在您通过 g.co/vulnz 报告后的 5 个工作日内做出回应。

有关 Google 如何处理安全问题的更多信息，请参阅Google 的安全理念。

如果您认为现有问题与安全相关，我们要求您通过 https://g.co/vulnz 报告它，并在报告中包含问题 ID。

我们承诺为当前最新的 稳定版 Dart 版本发布安全更新。

我们将安全问题视为 P0 优先级级别，并针对在最新稳定版 Dart SDK 中发现的任何重大安全问题发布测试版或补丁修复程序。 对于 dart.dev 等 Dart 网站报告的任何漏洞，无需发布，将在网站本身进行修复。

Dart 没有漏洞赏金计划。

根据问题和修复程序的发布，将向 dart-announce 邮件列表发布公告。

• 使用最新的 Dart SDK 版本。 我们定期更新 Dart，这些更新可能会修复在先前版本中发现的安全缺陷。 查看Dart 变更日志以获取与安全相关的更新。

• 使您的应用程序依赖项保持最新。 确保您升级您的包依赖项以保持依赖项最新。 避免固定到依赖项的特定版本，如果您确实这样做了，请确保定期检查您的依赖项是否已进行安全更新，并相应地更新版本固定。

除非另有说明，否则本网站上的文档反映的是 Dart 3.6.0。页面最后更新于 2025-02-05。 查看源代码 或 报告问题.