我们非常重视 Hrevolve 的安全性。感谢你负责任地披露安全问题。

通常情况下，我们只对以下版本提供安全修复：

• 默认分支（例如 main）的最新提交
• 最近一次发布版本（如存在 Release）

如果你使用的是较旧版本，我们可能会建议你先升级后再验证问题是否仍然存在。

请不要通过公开 Issue、讨论区或社交媒体披露安全漏洞。

推荐方式：

1. 使用 GitHub 的私密漏洞报告（Security Advisories / Private Vulnerability Reporting，如果仓库已开启）
2. 如果无法使用上述功能：请通过维护者提供的私密联系方式提交（例如安全邮箱）。如仓库尚未配置安全邮箱，可先创建一个最小化 Issue 标题为 “[SECURITY] Request contact”，不要包含敏感细节，维护者会提供私密渠道。

提交报告时请尽量包含：

• 漏洞类型与影响范围（影响哪些模块/接口）
• 复现步骤（PoC、请求样例、最小化复现仓库/脚本）
• 受影响版本/分支（如已知）
• 可能的修复建议（可选）
• 你的联系方式与是否希望在致谢中署名（可选）

我们一般会按如下流程处理：

• 确认收到：尽快确认已收到报告
• 分级与复现：评估严重性并在可控环境中复现
• 修复与验证：准备修复、补充测试，验证影响范围
• 发布与披露：在修复可用后发布安全公告/更新说明（如适用），并与报告者协商披露时间点

请在修复发布前避免公开披露细节。我们欢迎与你协商一个合理的披露窗口，以兼顾用户安全与透明度。

我们会在发布说明/安全公告中对负责任披露的研究者表示感谢（如你同意署名）。