# 安全策略

## 报告漏洞

如果你发现 QRGen 的安全漏洞，**请勿公开提交 Issue**。

请发送邮件至：**lhy3364451258@163.com**

在邮件中包含：
- 漏洞描述
- 复现步骤
- 影响范围评估
- 建议修复方案（如有）

我会在 **48 小时内回复**，并在确认后尽快发布修复。

## 安全考量

QRGen 是一个 QR 码生成工具，不处理用户隐私数据。关注的安全领域：

- **输入验证**：恶意构造的超长文本可能导致内存问题
- **文件路径**：CLI 输出路径防止目录遍历（已内置 `..` 拒绝）
- **Web 服务**：如果公网部署，需限制速率（建议通过反向代理实现）
- **依赖安全**：定期 `cargo audit` 检查 Rust 依赖漏洞

## 支持版本

| 版本 | 安全更新 |
|------|----------|
| 最新版 | ✅ |
| 旧版本 | ❌ 请升级到最新版 |

## 披露策略

- 修复发布后，漏洞细节将在 CHANGELOG 中公开
- 严重漏洞会优先发布补丁，延迟细节披露