Create SECURITY.md

SECURITY.md

@@ -0,0 +1,56 @@
+# 安全策略
+
+## 1. 受支持的版本
+
+以下是 [go-stock] 项目当前接受安全更新支持的版本：
+
+| 版本号 | 是否支持 |
+| ------- | ------------------ |
+| [v年.月.日.版本号] | :white_check_mark: |
+| [v较旧的年.月.日.版本号] | :x: |
+
+请注意，通常只有最新的主要或次要版本会积极维护安全更新，较旧版本可能不会收到安全补丁。
+
+## 2. 报告安全漏洞
+
+### 2.1 报告方式
+我们非常重视安全漏洞问题。如果您在我们的项目中发现了安全漏洞，请通过以下方式向我们报告：
+
+- **私下披露**：请发送电子邮件至 [sparkmemory@163.com]。在邮件中，请包含以下详细信息：
+    - 对漏洞的详细描述，包括如何复现该漏洞。
+    - 受影响的项目版本。
+    - 该漏洞可能造成的任何影响或风险。
+    - 如果可能，请提供建议的修复或缓解策略。
+
+### 2.2 响应时间线
+- **首次确认**：我们将在收到报告后的 [7] 个工作日内确认收到您的报告。
+- **调查与进度更新**：我们将对报告的漏洞进行全面调查，并在 [7] 个工作日内向您提供调查进度更新。
+- **补丁发布**：一旦修复方案开发完成，我们将尽快发布补丁。发布补丁的时间可能会因漏洞的复杂程度而有所不同。
+
+### 2.3 保密承诺
+我们深知安全漏洞报告保密的重要性。我们将对所有报告内容严格保密，未经您的许可，不会披露您的身份或漏洞的具体细节，除非法律有相关要求。
+
+## 3. 安全更新与沟通
+
+### 3.1 补丁发布
+当发现并修复安全漏洞后，我们会为受支持的项目版本发布补丁。补丁将在项目的官方 GitHub 仓库上提供。
+
+### 3.2 安全公告
+我们会在项目的 GitHub 安全公告页面发布安全公告。这些公告将详细说明漏洞情况、受影响的版本以及缓解或修复问题的步骤。
+
+### 3.3 沟通渠道
+- **GitHub**：所有关于安全更新和公告的官方通知将发布在项目的 GitHub 仓库上。
+- **电子邮件**：如果您订阅了项目的安全通知，您将收到有关重要安全更新的电子邮件通知。
+
+## 4. 第三方依赖
+我们会定期审查和更新项目中使用的第三方依赖，以确保其安全性。然而，第三方组件的安全性也依赖于其各自的维护者。如果您发现与第三方依赖相关的安全问题，请同时向相应的维护者报告并告知我们。
+
+## 5. 安全最佳实践
+我们鼓励项目的所有贡献者和用户遵循以下安全最佳实践：
+- 及时更新开发和生产环境，安装最新的安全补丁。
+- 使用强大的身份验证和授权机制。
+- 避免在代码中硬编码凭证信息。
+- 定期审查代码，排查潜在的安全漏洞。
+
+## 6. 联系信息
+如果您对 [go-stock] 项目的安全策略有任何疑问或担忧，请通过 [sparkmemory@163.com] 联系我们。