安全

1. 我们的立场

DepScope 设计用于公开公开的软件包元数据。我们不接收客户源代码、密钥或生产数据。 这使我们的攻击面狭窄，影响范围可预测。

2. 基础设施

• 主机托管在位于欧盟的 Cuttalo 运营基础设施上。
• 所有公开端点前置 Cloudflare：TLS 终止、WAF、DDoS 缓解、机器人评分。
• 应用和数据库在私有内部网络中。
• PostgreSQL 17 + Redis 缓存。
• 在 OVHcloud（法国 Gravelines）上进行异地加密备份，90 天滚动保留。

3. 认证和访问控制

• 魔术链接身份验证 — 从不存储密码。
• API 密钥使用加密随机性生成，仅存储为 SHA-256 哈希。
• 生产数据库和主机的管理访问仅限 Cuttalo 员工，仅 SSH 密钥，通过 VPN。

4. 传输和静态数据

• 所有公开流量通过 TLS 1.2+ 传输。
• 备份静态加密，密钥与存储提供商分开保管。
• 密钥和 API 凭据存储在专用文件中，chmod 600，在 Web 根目录之外。

5. 监控和事件响应

• 每 6 小时自动检查磁盘、RAM、CPU、数据库、PM2。
• 每小时磁盘使用监控和预处理健康检查。
• 事件响应：24 小时内分诊，Cuttalo 协调修复，在不迟延的情况下通知受影响用户， 个人数据泄露在 72 小时内通知（GDPR 第 33 条）。

6. 报告漏洞

请遵循我们的 负责任披露政策， 在公开分享发现之前发送邮件至 [email protected]。