1.9 KiB
1.9 KiB
title, type, tags, date
| title | type | tags | date |
|---|---|---|---|
| Security Policy | source | 2026-05-01 |
Source File
Summary(用中文描述)
- 核心主题:agency-agents 项目的安全漏洞报告政策和贡献者安全最佳实践
- 问题域:开源 agent 项目的安全漏洞管理与代码安全规范
- 方法/机制:通过 GitHub Security 私密报告渠道、明确响应时间线、分层安全范围(Agent 文件 vs Shell 脚本)、贡献者行为准则
- 结论/价值:为 agent 项目的安全运营提供了清晰的治理框架,强调 prompt 注入风险
Key Claims(用中文描述)
- 安全漏洞应通过 GitHub Security 私密渠道报告,而非公开 GitHub Issues
- 漏洞响应时间线:48 小时内确认,7 天内完成初步评估,修复时间视严重程度而定
- Agent Markdown 文件为非可执行内容,不应存储 API keys 或凭证
- Shell 脚本(install.sh、convert.sh、lint-agents.sh)为可执行文件,合并前必须审查
- 贡献者应主动举报可疑的 prompt 注入式 agent 定义
Key Quotes
"Do NOT open a public GitHub issue for security vulnerabilities. Open a private security advisory via GitHub Security tab." — 安全报告原则 "Shell scripts must be reviewed before merging" — Shell 脚本合并要求
Key Concepts
- PromptInjection:可疑 agent 定义试图注入恶意 prompt 的行为,需主动上报
- SecurityAdvisory:GitHub 私密安全咨询渠道,用于负责任的漏洞披露
- AgentSecurity:Agent Markdown 文件的安全边界——非可执行、无凭证存储
Key Entities
- AgencyAgents:该安全政策所属的 agent 定义仓库项目
Connections
- Contributing ← informs ← SecurityPolicy
- SecurityPolicy ← governs ← AgentFiles
- SecurityPolicy ← governs ← ShellScripts
Contradictions
- (无冲突检测到此页面与现有 Wiki 内容存在矛盾)