Skip to content

Security: weidonglang/EduNexus-AI

Security

SECURITY.md

安全策略

支持范围

本项目是教学演示项目,主要面向本地运行、课程答辩和学习交流。当前维护重点为主分支中的最新代码。

敏感信息处理

公开发布前请确认以下内容没有被提交:

  • 真实数据库账号和密码
  • 真实 Redis 密码
  • 真实学生、教师、身份证号、手机号等个人信息
  • 本地日志文件
  • 上传文件
  • 压测报告中包含的机器路径或敏感地址
  • .env 文件

数据库安全

数据库浏览模块默认设计为只读能力:

  • 支持查看表结构、字段、主键、外键、索引
  • 支持分页预览数据
  • 支持导出 CSV
  • 不默认开放任意 SQL 执行
  • 不默认开放新增、修改、删除、建表、删表、改表

如果自行扩展写操作,请务必增加权限控制、审计日志、SQL 白名单和二次确认。

Redis 安全

Redis 建议仅监听本机或内网地址,不建议直接暴露到公网。生产环境应配置密码、防火墙和最小权限网络访问。

漏洞反馈

如果你发现安全问题,请提供:

  • 问题模块
  • 复现步骤
  • 影响范围
  • 建议修复方向

请避免提交真实敏感数据作为复现材料。

There aren't any published security advisories