安全
Open WebUI 如何处理安全问题,以及如何负责任地报告漏洞。
Open WebUI 认真对待用户数据的安全和机密性。我们的技术架构和开发流程旨在最小化漏洞,并维持利益相关方对我们的信任。定期评估、代码库审查和系统采用最佳实践方法使安全成为我们项目生命周期的中心部分。
📋 安全策略
漏洞报告、披露和解决的交战规则。
提交安全报告前需要了解的所有信息:支持的版本、报告指南、预期的响应时间、机密披露要求,以及什么是(和不是)漏洞。
| 📝 报告指南 | 什么符合条件、什么不符合,以及如何提交 |
| ⏱️ 响应时间 | 提交报告后的预期 |
| 🔒 机密披露 | 关于公开披露时间的规则 |
| 🔌 插件安全 | 工具、函数和管道的安全影响 |
| 🏗️ 生产强化 | 生产部署的关键考虑事项 |
📄 供应商处置
我们对外部报告的 CVE 和安全声明的正式评估。
当针对 Open WebUI 提交 CVE 但我们认为其不准确、误导性或不代表我们威胁模型内的真正漏洞时,我们会发布详细的供应商处置。每份处置都解释了我们的评估、推理,以及适当时采取的任何措施。
| 🔍 正式评估 | 对每份争议报告的详细分析 |
| 📐 威胁模型背景 | 声明如何映射到 Open WebUI 的架构 |
| ✅ 解决状态 | 报告是否被接受、争议或拒绝 |