安全
Open WebUI 的安全防护体系 —— 以及如何以负责任的方式报告安全漏洞。
Open WebUI 始终高度重视用户数据的安全性和隐私机密性。我们的技术架构和软件开发流程旨在将潜�在的漏洞风险降至最低,并极力捍卫各界利益相关者对我们的信任。通过定期评估、代码深度审计以及系统性地采纳行业最佳安全实践,安全理念已成为我们整个项目生命周期中的核心一环。
📋 安全策略
关于漏洞报告、披露和修复的协同准则。
在提交安全漏洞报告前,您需要了解的一切信息:受支持的项目版本、漏洞报告指南、预期的响应时间、机密披露要求,以及哪些行为会被(或不会被)判定为有效漏洞。
| 模块分类 | 内容说明 |
|---|---|
| 📝 漏洞报告指南 | 判定标准、排除项,以及如何正式提交报告 |
| ⏱️ 响应时间表 | 提交报告后所能期待的反馈时效 |
| 🔒 机密披露规范 | 针对向公众公开漏洞细节的时间节点约束 |
| 🔌 插件安全规范 | Tools(工具)、Functions(函数)和 Pipelines(管道)的安全风险考量 |
| 🏗️ 生产环境加固 | 将系统投产于生产环境时的核心安全加固建议 |
📄 服务商处理声明
针对外部上报的 CVE 及安全指控,我们给出的官方评估与声明。
当有针对 Open WebUI 发起的 CVE 漏洞指控被认为与事实不符、被过度夸大,或根本不符合我们系统设定的威胁模型(Threat Model)时,我们会在此发布详尽的服务商处理声明(Vendor Dispositions)。每份声明都将阐明我们的官方评估结果、对应的推导逻辑,以及(在适用时)已采取的应对举措。
| 模块分类 | 内容说明 |
|---|---|
| 🔍 官方评估报告 | 针对每一份存疑漏洞报告的深度技术解析 |
| 📐 威胁模型背景 | 外部指控与 Open WebUI 真实技术架构的映射比对 |
| ✅ 处理状态跟踪 | 表明该漏洞报告已被采纳、存疑争议还是已被驳回 |