跳到主要内容

Security Disclosure

安全漏洞报告政策

为官网安全问题提供明确、可验证且负责任的报告渠道。

更新日期:2026 年 7 月 16 日

本政策用于协调安全报告,不代表自动授权侵入式测试,也不构成漏洞赏金承诺。

01

适用范围

本政策适用于由苏州盖拇斯达科技有限公司运营的正式官网 https://www.gamestartstudio.cn 及本站自行开发和维护的公开页面。

Vercel、GitHub、DNS、邮箱及其他第三方平台自身的产品漏洞,应优先按照对应服务商的安全渠道报告;如果问题由本站配置或集成方式引起,也可以同时通知我们。

02

如何报告

请通过gaimusida@gmail.com发送安全报告,邮件主题建议注明“安全漏洞报告”。为了便于复现,请尽量包含:

  • 受影响的页面、接口或完整 URL。
  • 问题现象、潜在影响与发现时间。
  • 可重复执行的最小复现步骤和测试环境。
  • 已经采取的操作,以及是否接触到非本人数据。
  • 必要的截图、响应片段或经过脱敏的日志。
  • 便于继续沟通的联系方式。

请勿在初始报告中发送账号密码、访问令牌、完整个人信息、真实客户数据或大体积源码文件。确有必要时,我们会另行确认安全的传输方式。

03

测试边界

公开的 security.txt 和本政策仅提供报告渠道,不代表自动授权任何侵入式测试。未经书面确认,请不要进行以下行为:

  • 访问、下载、修改或删除不属于自己的数据。
  • 绕过身份验证、权限控制、支付或下载限制。
  • 执行拒绝服务、压力测试、自动化高频扫描或资源耗尽操作。
  • 上传恶意程序,植入持久化代码,或改变生产环境配置。
  • 对员工、客户或合作方实施社会工程、钓鱼、骚扰或垃圾信息发送。
  • 公开尚未修复且可能被利用的细节。

如果验证问题可能影响真实用户、生产数据或服务可用性,请停止操作并先联系我们确认测试方式。

04

报告处理

收到可复现报告后,我们会评估影响范围、修复优先级和可行的缓解措施,并通过报告中提供的联系方式沟通进展。处理时间会受到问题复杂度、第三方依赖和发布验证范围影响。

重复报告、仅包含自动扫描结果但无法说明实际影响的报告,以及与本站无关的第三方问题,可能只进行简要回复。

05

协调披露

请在公开漏洞细节前与我们协调,并为确认、修复和部署验证保留合理时间。如果问题涉及第三方服务,我们可能需要与对应服务商共同处理。未经双方另行书面约定,本政策不构成漏洞赏金、报酬、采购或雇佣承诺。

06

报告数据与隐私

安全报告中的联系方式和技术信息仅用于确认、复现、修复与沟通相关问题。请尽量对日志、截图和样本进行脱敏,并只提供解决问题所必需的信息。其他规则可参考本站隐私政策

07

标准安全联系方式

自动化工具和安全研究人员可以读取本站的 security.txt。该文件按照 RFC 9116 提供联系地址、有效期、首选语言、规范地址和本政策地址。