secubox-openwrt/SECURITY.zh.md

安全政策

🌐 语言： English | Français | 中文

SecuBox 安全披露政策

本文档描述了 SecuBox 固件的安全政策，符合 欧盟网络韧性法案 (CRA) 第 13 条第 6 款对 I 类产品的要求。

制造商： CyberMind Produits SASU 联系人： Gérald Kerma，Notre-Dame-du-Cruet，萨瓦省，法国 网站： https://cybermind.fr | https://secubox.in

---

支持的版本

版本	支持状态	支持截止
1.0.x	✅ 当前版本（Beta）	积极开发中
0.19.x	✅ LTS	2027年3月
0.18.x	⚠️ 仅安全更新	2026年9月
< 0.18	❌ 已终止支持	不再支持

v1.0.0 Beta 版本

v1.0.0 Beta 版本现已开放安全测试。请参阅 BETA-RELEASE.md 了解：

• 攻击面概览
• 高价值目标
• 已知薄弱点（主动披露）
• 漏洞赏金范围和报告指南

支持政策：

• 当前版本： 所有错误修复和安全补丁
• LTS（长期支持）： 仅关键安全补丁，18个月
• 仅安全更新： 仅关键漏洞，下一主要版本发布后6个月
• 已终止支持： 无更新，强烈建议升级

---

报告漏洞

我们认真对待安全漏洞。如果您发现安全问题， 请负责任地报告。

主要联系方式

电子邮件： security@cybermind.fr

PGP 密钥： 0xABCD1234 指纹： 1234 5678 9ABC DEF0 1234 5678 9ABC DEF0 1234 5678

备用联系方式

对于需要立即处理的关键漏洞：

• 电话： +33 (0)4 79 XX XX XX（法国工作时间）
• Signal： 可通过电子邮件申请

加密通信

我们强烈建议使用 PGP 加密提交漏洞报告。 我们的公钥可在以下位置获取：

• https://secubox.in/pgp/security-key.asc
• https://keys.openpgp.org（搜索：security@cybermind.fr）

报告内容

请提供：

1. 描述： 漏洞的清晰描述
2. 影响： 潜在的安全影响（机密性、完整性、可用性）
3. 受影响版本： 哪些 SecuBox 版本受到影响
4. 复现步骤： 逐步复现说明
5. 概念验证： 代码、日志或截图（如适用）
6. 建议修复： 如果您有的话（可选）

响应时间表

阶段	时间
确认收到	48小时内
初步分类	5个工作日内
状态更新	调查期间每7天
修复开发	取决于严重程度（见下文）
公开披露	修复后90天，或协调披露

基于严重程度的修复时间：

• 关键（CVSS 9.0+）： 7天
• 高危（CVSS 7.0-8.9）： 30天
• 中危（CVSS 4.0-6.9）： 60天
• 低危（CVSS < 4.0）： 下一常规版本

---

软件物料清单 (SBOM)

根据 CRA 附件 I 的要求，我们为所有版本发布机器可读格式的 SBOM。

SBOM 位置

SBOM 附加在每个 GitHub Release 中：

• CycloneDX 1.6： secubox-VERSION.cdx.json
• SPDX 2.3： secubox-VERSION.spdx.json
• CVE 报告： secubox-VERSION-cve-report.json
• 校验和： checksums.sha256

直接链接： https://github.com/cybermind/secubox/releases/latest

SBOM 内容

我们的 SBOM 包括：

• 所有 OpenWrt 基础包
• SecuBox 自定义包及其依赖
• 内核模块和固件 blob
• 加密库及版本
• 许可证信息（SPDX 标识符）
• 每个组件的 PURL（包 URL）标识符

验证 SBOM 完整性

# 下载 SBOM 和校验和
wget https://github.com/cybermind/secubox/releases/latest/download/secubox-0.20.cdx.json
wget https://github.com/cybermind/secubox/releases/latest/download/checksums.sha256

# 验证校验和
sha256sum -c checksums.sha256 --ignore-missing

---

漏洞披露 (VEX)

我们使用漏洞可利用性交换 (VEX) 文档来传达 影响 SecuBox 组件的 CVE 状态。

VEX 政策

请参阅 docs/vex-policy.md 了解我们完整的 VEX 处理政策。

状态定义：

• not_affected：CVE 不影响 SecuBox（组件未使用，条件不满足）
• affected：CVE 影响 SecuBox，正在修复中
• fixed：CVE 已在指定版本中修复
• under_investigation：正在分析中

VEX 文档与发布版本一起发布：

• secubox-VERSION.vex.json（CycloneDX VEX 格式）

---

CRA 合规声明

欧盟网络韧性法案 — I 类声明

SecuBox 是欧盟网络韧性法案（法规 2024/XXX）下的 I 类产品， 因为它是具有网络连接功能的路由器/VPN 设备。

合规状态：

• ✅ SBOM 以机器可读格式发布（CycloneDX + SPDX）
• ✅ 已建立漏洞披露联系方式
• ✅ 已实施安全更新机制（opkg + secubox-update）
• ✅ 默认安全配置
• ⏳ ANSSI CSPN 认证：进行中（目标 2026年第三季度）

认证路径

我们正在为 SecuBox 申请 ANSSI CSPN（一级安全认证） 认证，预计于 2026年第三季度完成。

认证范围：

• 防火墙功能
• VPN（WireGuard）实现
• 入侵检测（CrowdSec 集成）
• 安全启动链
• 更新完整性验证

---

安全架构

纵深防御

SecuBox 实施多层安全：

1. 网络分段： VLAN 隔离，访客网络分离
2. WAF 保护： 基于 mitmproxy 的 Web 应用防火墙
3. 入侵检测： CrowdSec 社区威胁情报
4. 加密 VPN： 采用现代加密技术的 WireGuard
5. 访问控制： 支持 MFA 的 SSO 门户
6. 审计日志： 全面的安全事件日志记录

数据主权

SecuBox 包含一个AI 网关，强制执行数据分类：

• LOCAL_ONLY： 敏感数据（IP、凭证）永不离开设备
• SANITIZED： 在欧盟云处理（Mistral）前清除 PII
• CLOUD_DIRECT： 发送到用户选择的提供商的通用查询

详见 AI 网关文档。

---

第三方组件

SecuBox 基于以下组件构建：

• OpenWrt： GPL-2.0，https://openwrt.org
• CrowdSec： MIT，https://crowdsec.net
• WireGuard： GPL-2.0，https://wireguard.com
• mitmproxy： MIT，https://mitmproxy.org

我们监控上游安全公告并及时集成补丁。

---

安全开发实践

• 代码审查： 所有更改都需要同行审查
• 依赖扫描： CI/CD 中的自动 CVE 扫描
• SBOM 生成： 每次发布自动生成
• 可重现构建： 强制执行 SOURCE_DATE_EPOCH
• 签名发布：（计划中）发布版本的 cosign 签名

---

联系方式

• 安全相关： security@cybermind.fr
• 技术支持： support@cybermind.fr
• 商务合作： contact@cybermind.fr

地址： CyberMind Produits SASU Notre-Dame-du-Cruet 73130 萨瓦省，法国

---

荣誉榜

负责任地披露漏洞的安全研究人员：

研究人员	日期	严重程度	描述
您的名字	—	—	—

我们感谢所有帮助使 SecuBox 更安全的贡献者。

---

最后更新：2026-03-15 文档版本：1.1