当前支持安全更新的版本:
| 版本 | 支持状态 |
|---|---|
| 2.0.x | ✅ 支持 |
| 1.0.x | ❌ 不再支持 |
我们非常重视 KeyPulse 的安全性。如果你发现了安全漏洞,请不要公开披露。
请通过以下方式私密报告:
-
邮件报告(推荐)
- 发送至:Harland5588@outlook.com
- 主题:[Security] KeyPulse 安全漏洞报告
-
GitHub Security Advisory
- 访问:https://github.com/Longfellow1/keypulse/security/advisories
- 点击 "Report a vulnerability"
请包含以下信息:
- 漏洞类型和严重程度
- 详细的漏洞描述
- 复现步骤
- 影响范围
- 可能的修复建议
- 你的联系方式
- 确认收到:24 小时内
- 初步评估:3 个工作日内
- 修复发布:根据严重程度,7-30 天
- 收到报告后,我们会立即确认
- 评估漏洞的严重程度和影响范围
- 开发修复补丁
- 在私有分支测试修复
- 发布安全更新
- 公开披露(在修复发布后)
-
保持更新
- 始终使用最新版本
- 关注安全公告
-
权限管理
- 只授予必要的辅助功能权限
- 定期检查权限设置
-
数据保护
- 定期清理旧数据
- 不要在公共设备上使用
-
配置黑名单
- 将敏感应用加入黑名单
- 自定义脱敏规则
-
代码审查
- 所有 PR 必须经过审查
- 关注安全相关的代码变更
-
依赖管理
- 定期更新依赖
- 检查依赖的安全漏洞
-
测试
- 添加安全相关的测试
- 测试边界条件
- ✅ 本地存储,不上传云端
- ✅ SQLite 数据库
⚠️ 数据库未加密(计划在 v2.1 添加)
- ✅ 实时脱敏,不存储原始输入
- ✅ 黑名单保护敏感应用
- ✅ 敏感内容自动过滤
⚠️ 需要辅助功能权限(监听键盘和窗口)- ✅ 仅在用户明确授权后运行
- ✅ 可随时撤销权限
KeyPulse 的设计原则:
-
本地优先
- 所有数据存储在本地
- 不上传到任何服务器
- 不收集用户信息
-
最小化收集
- 只记录必要的工作信息
- 智能脱敏保护隐私
- 用户可完全控制数据
-
透明开源
- 代码完全开源
- 可审计和验证
- 欢迎安全审查
感谢所有负责任地报告安全问题的研究人员和用户。
最后更新: 2026-02-27