nexus/wiki/sources/SECURITY.md at 914c8f6925aed40c2381e1f9d977e70ab1fdceb7 - nexus - Gitea: Git with a cup of tea

ishenwei/nexus

Files

weishen cb7c11e14f Auto-sync: 2026-04-21 00:02

2026-04-21 00:02:55 +08:00

1.5 KiB

Raw Blame History

title, type, tags, date

title

type

tags

date

Security Policy

source

security

open-source

best-practices

2026-04-20

Source File

raw/Agent/agency-agents/SECURITY.md

Summary

本项目安全政策，定义漏洞报告流程、响应时间线和贡献者安全规范。项目包含基于 Markdown 的智能体定义文件（纯提示词，非可执行）和 Shell 脚本两类资产。

Key Claims

安全漏洞必须通过 GitHub Security 标签页私下报告，禁止公开 GitHub Issue
响应时间线：48 小时内确认，7 天内初步评估，修复时间取决于严重程度
智能体文件 (.md) 为非可执行提示词定义，不应存储 API 密钥或凭证
Shell 脚本 (scripts/) 为可执行文件，合并前必须审查

Key Quotes

"Do NOT open a public GitHub issue for security vulnerabilities. Open a private security advisory via GitHub Security tab." — 漏洞报告规范

"Never commit API keys, tokens, or credentials" — 贡献者最佳实践

"Report suspicious agent definitions that attempt prompt injection" — 提示词注入检测要求

Key Concepts

提示词注入：恶意智能体定义试图通过提示词注入攻击系统安全
安全响应时间线：48h 确认→7 天评估→修复，标准化的漏洞响应流程

Key Entities

agency-agents：包含安全政策的智能体项目仓库

Connections

提示词设计 ← 安全规范 ← 安全响应时间线
Prompt Library ← 非可执行约束 ← 安全政策

Contradictions

无已知冲突页面