漏洞披露政策

本政策适用于以下资产范围内的安全漏洞：（a）域名 allswap.io 及其子域名下的所有 Web 应用与 API；（b）AllSwap Telegram 客服账号 @allswapservice 的认证与会话安全；（c）任何由 AllSwap 直接控制并对外提供服务的基础设施。底层去中心化结算协议、链上做市商与第三方钱包不在本政策范围内（请向相关方报告）。

以下情况不属于本政策范围，请勿报告：（a）拒绝服务（DoS / DDoS）攻击与流量放大；（b）社会工程攻击（钓鱼、冒充客服等）；（c）已公开的第三方依赖漏洞（请提交至上游）；（d）需要受害用户主动安装恶意软件的攻击链；（e）输出敏感 header 缺失而无实际影响的报告；（f）邮件 SPF / DKIM 配置类报告（除非可证明实际接管）。

请通过邮件 service@allswap.io 提交报告，邮件主题前缀建议使用 [SECURITY]。报告内容应包含：（1）漏洞描述与影响评估；（2）逐步复现步骤；（3）受影响的 URL / 组件 / 参数；（4）你希望署名的方式（真名 / 化名 / 匿名）。如需加密通信，请在邮件中说明，我们会单独协调 PGP 公钥交换。紧急情况可通过 Telegram @allswapservice 联络客服转接。

我们承诺：（a）在收到报告后 48 小时内首次回应；（b）在 7 日内完成漏洞确认与严重性评级；（c）针对高严重性漏洞（直接资金风险、用户数据泄露），力争 30 日内完成修复；（d）针对中低严重性漏洞，按计划安排修复并在合理时限内回复研究员。修复完成后我们会通知报告人并征求公开披露的协调时间。

我们承诺不会对遵守本政策、出于善意（good-faith）开展安全研究的人员发起法律追究——包括但不限于：使用测试账号探测公开接口、报告漏洞、保留必要的复现证据。Safe Harbor 不适用于：（a）超出 In Scope 的目标；（b）针对真实用户数据的访问、下载或公开；（c）破坏服务可用性的破坏性测试；（d）勒索或威胁公开作为施压手段。

以下行为不在 Safe Harbor 保护范围，且我们保留追究法律责任的权利：（a）访问、下载或公开真实用户的资产、密钥、个人信息；（b）对生产系统进行可能影响其他用户的破坏性测试（例如大规模数据修改、删除）；（c）借漏洞勒索 AllSwap 或第三方；（d）公开未协调披露的漏洞；（e）任何超出研究目的的攻击行为。

我们感谢每一位负责任地报告漏洞、帮助提升 AllSwap 安全的研究员。完成修复并经报告人同意公开后，我们会在本节按时间顺序列出致谢名单（含报告日期、署名方式、问题简述）。目前致谢列表为空——我们刚刚开始，期待第一位贡献者。

本政策适用香港特别行政区法律。如对本政策有任何疑问、争议或需澄清的事项，请通过 service@allswap.io 联系我们。RFC 9116 security.txt 文件托管于 https://allswap.io/.well-known/security.txt，包含本政策的机读元数据。本政策自上方「Effective」日期起生效，我们可能不时更新——更新版本会在本页公示。