跳转至

安全策略

PageEyes Agent 项目团队高度重视安全性,本文档概述了当前执行的安全策略、最佳实践以及如何报告安全漏洞。

安全设计原则

PageEyes Agent 在设计和开发过程中遵循以下安全原则:

  1. 最小权限原则:Agent 仅请求执行任务所需的最小权限集
  2. 数据隔离:确保不同测试会话之间的数据严格隔离
  3. 安全默认配置:所有默认配置均采用安全优先的设置
  4. 依赖管理:定期审查和更新依赖项,减少已知漏洞风险

数据安全

敏感数据处理

  • 测试过程中的敏感数据(如密码、令牌)不会被持久化存储
  • 支持通过环境变量注入敏感配置,避免硬编码

存储安全

  • 测试报告和截图默认采用临时存储,可配置自动清理策略
  • 当使用云存储(如腾讯云 COS 或 MinIO)时,明确配置启用加密传输
  • 建议用户为存储服务配置适当的访问控制策略和生命周期管理

网络安全

  • 支持配置代理服务器,适应企业网络安全策略
  • 默认禁用跨域请求,除非明确配置
  • 浏览器会话采用隔离配置,减少潜在的跨站脚本攻击风险

认证与授权

  • API 密钥和服务凭证采用环境变量方式配置,避免硬编码

安全最佳实践

部署建议

  1. 在隔离的环境中运行 PageEyes Agent
  2. 使用非特权用户运行服务
  3. 定期更新至最新版本
  4. 配置适当的资源限制,防止资源耗尽攻击

配置建议

  1. 使用强密码和唯一的 API 密钥
  2. 限制 API 访问范围
  3. 启用 HTTPS 并使用最新的 TLS 版本

漏洞报告

PageEyes Agent 项目团队鼓励负责任地披露安全漏洞。如果发现安全问题,请:

  1. 发送详细描述至 aidenmo@tencent.com(请勿公开披露)
  2. 包含复现步骤和影响范围
  3. 允许团队有合理的时间进行修复
  4. 避免访问或修改其他用户的数据

团队承诺:

  • 24小时内确认收到报告
  • 定期更新修复进度
  • 在修复完成后公开致谢(如您同意)
  • 考虑提供适当的漏洞赏金

安全更新

安全更新将通过以下渠道发布:

  • GitHub 安全公告
  • 项目官方文档

合规性

PageEyes Agent 设计时考虑了以下安全标准和最佳实践:

  • OWASP 安全测试指南
  • NIST 安全软件开发框架
  • CWE/SANS 顶级 25 安全漏洞

本安全策略将定期更新。最后更新日期:2025-09-19