資安政策

Security Policy & Vulnerability Disclosure

回報漏洞 · Reporting a Vulnerability

請將漏洞細節以 PGP 加密 (或一般 email) 寄至 security@taiwan-ui.dev。請於公開 GitHub Issue 揭露。 Report vulnerabilities privately to security@taiwan-ui.dev. Do NOT open a public GitHub issue.

我們承諾於 72 小時內回覆,並於 30 日內提供修復計畫。 We aim to acknowledge within 72 hours and provide a remediation plan within 30 days.

範圍 · Scope

  • 本網站 (taiwan-ui.vercel.app) — XSS、CSRF、CSP 繞過、伺服器端漏洞
  • @taiwan-ui/react 套件 — DoS、原型污染、不安全的 HTML 注入
  • /api/* 路由 — 注入、未授權存取、速率限制繞過
  • 驗證器 (lib/validators/*) — 校驗演算法錯誤

範圍外 · Out of Scope

  • 第三方服務 (Vercel, GitHub) 之問題 — 請直接回報該廠商
  • 社交工程
  • 體積過大導致的拒絕服務 (please report to Vercel)

安全控制 · Security Controls

  • HTTP 嚴格傳輸 (HSTS, max-age=63072000)
  • 內容安全政策 (CSP) — 限制 script/connect 來源
  • X-Frame-Options: DENY、X-Content-Type-Options: nosniff、Referrer-Policy: strict-origin-when-cross-origin
  • CI 自動執行 npm audit --audit-level=high
  • 提交 API 端點具速率限制 (3 req/min/IP)
  • 所有元件零執行時依賴 (zero runtime deps) — 攻擊面最小化

致謝 · Hall of Fame

感謝以下安全研究人員的負責任揭露 (Responsible disclosure list will be published here.)