# 安全政策 / Security Policy

> **繁體中文** | [简体中文](./SECURITY.zh-Hans.md) | [English](./SECURITY.en.md)

這個 repo 是一份**精選學習路線圖**(主要是 Markdown 教材 + 少量範例程式碼),不是一個會部署的軟體產品。即便如此,有幾類安全問題仍然值得回報——尤其因為本教材教讀者**實際執行 agent / MCP / tool-use**。

## 支援範圍

本專案採**滾動式維護**,沒有版本化 release。只有 `main` 分支的最新狀態會被修正。

## 哪些算安全問題

請回報以下情況:

- **被劫持 / 惡意的第三方連結** —— catalog 裡某個 repo 連結指向了釣魚站、惡意套件,或專案已被惡意接管
- **範例程式碼的供應鏈風險** —— `examples/`、`walkthroughs/`、`scripts/` 裡的程式碼會引導不安全的相依套件、洩漏金鑰的寫法,或可被注入的指令
- **教材中外洩的密鑰** —— 文件裡不小心貼出真實 API key / token / 憑證
- **指令注入式的教學內容** —— 某段教學會誘導讀者在自己機器上跑出危險後果(例如未沙箱化地對 untrusted input 執行 agent)

**不屬於**本 repo 安全範疇的:第三方專案**本身**的漏洞——那些請直接回報給上游專案的維護者,並可同時開 issue 提醒我們把該 entry 標註或移除。

## 如何回報

**請不要在公開 issue 裡貼出可被利用的細節。**

1. **首選**:用 GitHub 的 **私人漏洞回報**(repo 的 **Security** 分頁 → **Report a vulnerability**)。只有維護者看得到。
2. 若該功能不可用:請透過 GitHub 私訊 **@WenyuChiou**,說明問題影響與受影響的檔案 / 連結,我們會私下接續。**請勿開公開 issue**——即使不貼 exploit 細節,公開的標題與標籤也會對外暴露「有一個未修補的問題」。

回報時請盡量附上:受影響的檔案 / 連結、問題說明、可能的影響,以及(若有)修正建議。

## 處理時程

這是一個社群維護的教育專案,沒有 SLA,但我們會儘速處理。一般而言:

- **確認收到**:7 天內
- **初步評估**:14 天內
- **修正或標註**:視嚴重程度而定;惡意連結會優先處理

謝謝你幫忙讓這份教材對所有學習者都更安全。