安全

Mermaid 团队非常重视 Mermaid 和使用 Mermaid 的应用程序的安全。本页介绍如何报告您可能发现的任何漏洞，并列出了最大程度减少引入漏洞风险的最佳实践。

报告漏洞

要报告漏洞，请通过电子邮件发送至 [email protected]，其中包含问题的描述、您采取的步骤以创建问题、受影响的版本，以及如果已知，该问题的缓解措施。

我们力争在三个工作日内回复，可能更早。

在我们努力解决您报告的问题时，您应该期待密切合作。如果您没有收到及时关注和定期更新，请再次联系 [email protected]。

您也可以通过我们的公共 Discord 聊天频道联系团队；但是，请务必在报告问题时通过电子邮件发送至 [email protected]，并避免在公开场合透露有关漏洞的信息，因为这可能会危及用户安全。

最佳实践

使用最新的 Mermaid 版本。我们定期更新 Mermaid，这些更新可能会修复在先前版本中发现的安全缺陷。查看 Mermaid 发行说明以了解与安全相关的更新。

保持应用程序依赖项更新。确保升级您的软件包依赖项以保持依赖项更新。避免将依赖项固定到特定版本，如果确实如此，请确保定期检查您的依赖项是否已进行安全更新，并相应地更新固定。

配置 DomPurify

默认情况下，Mermaid 使用基线 DOMPurify 配置。可以通过在 Mermaid 选项中添加 dompurifyConfig 键来覆盖传递给 DOMPurify 的选项。这可能会破坏 Mermaid 的输出，因此请谨慎使用。