CyberMind-FR
ccfb58124c
Add complete French (fr) and Chinese (zh) translations for all documentation: - Root files: README, CHANGELOG, SECURITY, BETA-RELEASE - docs/: All 16 core documentation files - DOCS/: All 19 deep-dive documents including embedded/ and archive/ - package/secubox/: All 123+ package READMEs - Misc: secubox-tools/, scripts/, EXAMPLES/, config-backups/, streamlit-apps/ Total: 346 translation files created Each file includes language switcher links for easy navigation between English, French, and Chinese versions. Co-Authored-By: Claude Opus 4.5 <noreply@anthropic.com>
252 lines
6.9 KiB
Markdown
252 lines
6.9 KiB
Markdown
# 安全政策
|
||
|
||
🌐 **语言:** [English](SECURITY.md) | [Français](SECURITY.fr.md) | 中文
|
||
|
||
## SecuBox 安全披露政策
|
||
|
||
本文档描述了 SecuBox 固件的安全政策,符合
|
||
**欧盟网络韧性法案 (CRA) 第 13 条第 6 款**对 I 类产品的要求。
|
||
|
||
**制造商:** CyberMind Produits SASU
|
||
**联系人:** Gérald Kerma,Notre-Dame-du-Cruet,萨瓦省,法国
|
||
**网站:** https://cybermind.fr | https://secubox.in
|
||
|
||
---
|
||
|
||
## 支持的版本
|
||
|
||
| 版本 | 支持状态 | 支持截止 |
|
||
|------|----------|----------|
|
||
| 1.0.x | ✅ 当前版本(Beta)| 积极开发中 |
|
||
| 0.19.x | ✅ LTS | 2027年3月 |
|
||
| 0.18.x | ⚠️ 仅安全更新 | 2026年9月 |
|
||
| < 0.18 | ❌ 已终止支持 | 不再支持 |
|
||
|
||
### v1.0.0 Beta 版本
|
||
|
||
v1.0.0 Beta 版本现已开放安全测试。请参阅 [BETA-RELEASE.md](BETA-RELEASE.md) 了解:
|
||
- 攻击面概览
|
||
- 高价值目标
|
||
- 已知薄弱点(主动披露)
|
||
- 漏洞赏金范围和报告指南
|
||
|
||
**支持政策:**
|
||
- **当前版本:** 所有错误修复和安全补丁
|
||
- **LTS(长期支持):** 仅关键安全补丁,18个月
|
||
- **仅安全更新:** 仅关键漏洞,下一主要版本发布后6个月
|
||
- **已终止支持:** 无更新,强烈建议升级
|
||
|
||
---
|
||
|
||
## 报告漏洞
|
||
|
||
我们认真对待安全漏洞。如果您发现安全问题,
|
||
请负责任地报告。
|
||
|
||
### 主要联系方式
|
||
|
||
**电子邮件:** security@cybermind.fr
|
||
|
||
**PGP 密钥:** [0xABCD1234](https://secubox.in/pgp/security-key.asc)
|
||
**指纹:** `1234 5678 9ABC DEF0 1234 5678 9ABC DEF0 1234 5678`
|
||
|
||
### 备用联系方式
|
||
|
||
对于需要立即处理的关键漏洞:
|
||
- **电话:** +33 (0)4 79 XX XX XX(法国工作时间)
|
||
- **Signal:** 可通过电子邮件申请
|
||
|
||
### 加密通信
|
||
|
||
我们**强烈建议**使用 PGP 加密提交漏洞报告。
|
||
我们的公钥可在以下位置获取:
|
||
- https://secubox.in/pgp/security-key.asc
|
||
- https://keys.openpgp.org(搜索:security@cybermind.fr)
|
||
|
||
### 报告内容
|
||
|
||
请提供:
|
||
1. **描述:** 漏洞的清晰描述
|
||
2. **影响:** 潜在的安全影响(机密性、完整性、可用性)
|
||
3. **受影响版本:** 哪些 SecuBox 版本受到影响
|
||
4. **复现步骤:** 逐步复现说明
|
||
5. **概念验证:** 代码、日志或截图(如适用)
|
||
6. **建议修复:** 如果您有的话(可选)
|
||
|
||
### 响应时间表
|
||
|
||
| 阶段 | 时间 |
|
||
|------|------|
|
||
| 确认收到 | 48小时内 |
|
||
| 初步分类 | 5个工作日内 |
|
||
| 状态更新 | 调查期间每7天 |
|
||
| 修复开发 | 取决于严重程度(见下文)|
|
||
| 公开披露 | 修复后90天,或协调披露 |
|
||
|
||
**基于严重程度的修复时间:**
|
||
- **关键(CVSS 9.0+):** 7天
|
||
- **高危(CVSS 7.0-8.9):** 30天
|
||
- **中危(CVSS 4.0-6.9):** 60天
|
||
- **低危(CVSS < 4.0):** 下一常规版本
|
||
|
||
---
|
||
|
||
## 软件物料清单 (SBOM)
|
||
|
||
根据 CRA 附件 I 的要求,我们为所有版本发布机器可读格式的 SBOM。
|
||
|
||
### SBOM 位置
|
||
|
||
SBOM 附加在每个 GitHub Release 中:
|
||
- **CycloneDX 1.6:** `secubox-VERSION.cdx.json`
|
||
- **SPDX 2.3:** `secubox-VERSION.spdx.json`
|
||
- **CVE 报告:** `secubox-VERSION-cve-report.json`
|
||
- **校验和:** `checksums.sha256`
|
||
|
||
**直接链接:** https://github.com/cybermind/secubox/releases/latest
|
||
|
||
### SBOM 内容
|
||
|
||
我们的 SBOM 包括:
|
||
- 所有 OpenWrt 基础包
|
||
- SecuBox 自定义包及其依赖
|
||
- 内核模块和固件 blob
|
||
- 加密库及版本
|
||
- 许可证信息(SPDX 标识符)
|
||
- 每个组件的 PURL(包 URL)标识符
|
||
|
||
### 验证 SBOM 完整性
|
||
|
||
```bash
|
||
# 下载 SBOM 和校验和
|
||
wget https://github.com/cybermind/secubox/releases/latest/download/secubox-0.20.cdx.json
|
||
wget https://github.com/cybermind/secubox/releases/latest/download/checksums.sha256
|
||
|
||
# 验证校验和
|
||
sha256sum -c checksums.sha256 --ignore-missing
|
||
```
|
||
|
||
---
|
||
|
||
## 漏洞披露 (VEX)
|
||
|
||
我们使用**漏洞可利用性交换 (VEX)** 文档来传达
|
||
影响 SecuBox 组件的 CVE 状态。
|
||
|
||
### VEX 政策
|
||
|
||
请参阅 [docs/vex-policy.md](docs/vex-policy.md) 了解我们完整的 VEX 处理政策。
|
||
|
||
**状态定义:**
|
||
- `not_affected`:CVE 不影响 SecuBox(组件未使用,条件不满足)
|
||
- `affected`:CVE 影响 SecuBox,正在修复中
|
||
- `fixed`:CVE 已在指定版本中修复
|
||
- `under_investigation`:正在分析中
|
||
|
||
VEX 文档与发布版本一起发布:
|
||
- `secubox-VERSION.vex.json`(CycloneDX VEX 格式)
|
||
|
||
---
|
||
|
||
## CRA 合规声明
|
||
|
||
### 欧盟网络韧性法案 — I 类声明
|
||
|
||
SecuBox 是欧盟网络韧性法案(法规 2024/XXX)下的 **I 类产品**,
|
||
因为它是具有网络连接功能的路由器/VPN 设备。
|
||
|
||
**合规状态:**
|
||
- ✅ SBOM 以机器可读格式发布(CycloneDX + SPDX)
|
||
- ✅ 已建立漏洞披露联系方式
|
||
- ✅ 已实施安全更新机制(opkg + secubox-update)
|
||
- ✅ 默认安全配置
|
||
- ⏳ ANSSI CSPN 认证:进行中(目标 2026年第三季度)
|
||
|
||
### 认证路径
|
||
|
||
我们正在为 SecuBox 申请 **ANSSI CSPN(一级安全认证)**
|
||
认证,预计于 2026年第三季度完成。
|
||
|
||
**认证范围:**
|
||
- 防火墙功能
|
||
- VPN(WireGuard)实现
|
||
- 入侵检测(CrowdSec 集成)
|
||
- 安全启动链
|
||
- 更新完整性验证
|
||
|
||
---
|
||
|
||
## 安全架构
|
||
|
||
### 纵深防御
|
||
|
||
SecuBox 实施多层安全:
|
||
|
||
1. **网络分段:** VLAN 隔离,访客网络分离
|
||
2. **WAF 保护:** 基于 mitmproxy 的 Web 应用防火墙
|
||
3. **入侵检测:** CrowdSec 社区威胁情报
|
||
4. **加密 VPN:** 采用现代加密技术的 WireGuard
|
||
5. **访问控制:** 支持 MFA 的 SSO 门户
|
||
6. **审计日志:** 全面的安全事件日志记录
|
||
|
||
### 数据主权
|
||
|
||
SecuBox 包含一个**AI 网关**,强制执行数据分类:
|
||
- **LOCAL_ONLY:** 敏感数据(IP、凭证)永不离开设备
|
||
- **SANITIZED:** 在欧盟云处理(Mistral)前清除 PII
|
||
- **CLOUD_DIRECT:** 发送到用户选择的提供商的通用查询
|
||
|
||
详见 [AI 网关文档](docs/ai-gateway.md)。
|
||
|
||
---
|
||
|
||
## 第三方组件
|
||
|
||
SecuBox 基于以下组件构建:
|
||
- **OpenWrt:** GPL-2.0,https://openwrt.org
|
||
- **CrowdSec:** MIT,https://crowdsec.net
|
||
- **WireGuard:** GPL-2.0,https://wireguard.com
|
||
- **mitmproxy:** MIT,https://mitmproxy.org
|
||
|
||
我们监控上游安全公告并及时集成补丁。
|
||
|
||
---
|
||
|
||
## 安全开发实践
|
||
|
||
- **代码审查:** 所有更改都需要同行审查
|
||
- **依赖扫描:** CI/CD 中的自动 CVE 扫描
|
||
- **SBOM 生成:** 每次发布自动生成
|
||
- **可重现构建:** 强制执行 SOURCE_DATE_EPOCH
|
||
- **签名发布:**(计划中)发布版本的 cosign 签名
|
||
|
||
---
|
||
|
||
## 联系方式
|
||
|
||
- **安全相关:** security@cybermind.fr
|
||
- **技术支持:** support@cybermind.fr
|
||
- **商务合作:** contact@cybermind.fr
|
||
|
||
**地址:**
|
||
CyberMind Produits SASU
|
||
Notre-Dame-du-Cruet
|
||
73130 萨瓦省,法国
|
||
|
||
---
|
||
|
||
## 荣誉榜
|
||
|
||
负责任地披露漏洞的安全研究人员:
|
||
|
||
| 研究人员 | 日期 | 严重程度 | 描述 |
|
||
|----------|------|----------|------|
|
||
| *您的名字* | — | — | — |
|
||
|
||
我们感谢所有帮助使 SecuBox 更安全的贡献者。
|
||
|
||
---
|
||
|
||
_最后更新:2026-03-15_
|
||
_文档版本:1.1_
|