安全

Dart 團隊非常重視 Dart 及其建立的應用的安全性。此頁面描述瞭如何報告您發現的任何漏洞，並列出了最小化引入漏洞風險的最佳實踐。

Dart 的安全策略基於五個關鍵支柱

• 識別：透過識別核心資產、關鍵威脅和漏洞來跟蹤和優先處理關鍵安全風險。
• 檢測：使用漏洞掃描、靜態應用安全測試和模糊測試等技術和工具檢測和識別漏洞。
• 保護：透過緩解已知漏洞並保護關鍵資產免受源威脅來消除風險。
• 響應：定義報告、分類和響應漏洞或攻擊的流程。
• 恢復：建立能力以控制事件並以最小影響從中恢復。

要報告安全問題，請使用 https://g.co/vulnz。協調和披露在 dart-lang GitHub 倉庫中進行（包括 GitHub 安全公告）。請提供問題的詳細描述、重現問題的步驟、受影響的版本以及任何問題的緩解措施。Google 安全團隊將在您在 g.co/vulnz 上報告後的 5 個工作日內作出回應。

有關 Google 如何處理安全問題的更多資訊，請參閱 Google 的安全理念。

如果您認為現有問題與安全相關，請透過 https://g.co/vulnz 報告，並在報告中包含問題 ID。

我們承諾為 Dart 當前最新的 穩定版 釋出安全更新。

我們將安全問題視為 P0 優先級別，併為 Dart SDK 最新穩定版中發現的任何主要安全問題釋出 beta 或補丁修復。對於 dart.dev 等 Dart 網站報告的任何漏洞，無需釋出新版本，而是在網站本身進行修復。

Dart 沒有漏洞賞金計劃。

根據問題和修復版本的不同，相關公告將釋出到 dart-announce 郵件列表。

• 及時更新到最新的 Dart SDK 版本。我們定期更新 Dart，這些更新可能會修復先前版本中發現的安全缺陷。請檢視 Dart 更新日誌以獲取與安全相關的更新。

• 保持應用依賴項處於最新狀態。確保您升級您的包依賴項，以保持依賴項處於最新狀態。避免將依賴項鎖定到特定版本，如果確實鎖定了，請務必定期檢查您的依賴項是否有安全更新，並相應地更新版本鎖定。