我们把安全视为发布的必备项,而非清单。本页说明目前的安全控制以及如何在发现问题时联系我们。
传输中的数据
api.kunavo.com与kunavo.com在边缘强制使用 TLS 1.2+。- HSTS 启用,max-age 12 个月。
- OAuth 回调限定在已验证的 redirect URI;邮件魔法链接 token 一次性使用且短期有效。
静态数据
- 账户、计费与用量数据存储于 Fly Postgres,配有跨区域加密备份。
- API 密钥以单向哈希存储;明文仅在创建时展示一次。
- 用户上传由独立的中立存储桶
files.kunavo.com提供,使用仅限该桶的专用凭证。
访问控制
- 最小权限原则:生产访问仅限少数授权工程师。
- 所有基础设施提供商均要求二次验证。
- 管理后台保留管理操作的审计日志。
可靠性
- 上游模型的多供应商热备 —— 参见首页与服务条款对范围的说明。
- 状态页:kunavo.com/status。
- 每个 dispatcher 的 TTFB 与断流监控;对用户可见的事件复盘发布在 /changelog。
负责任披露
如您认为发现了安全漏洞,请发送邮件至 security@kunavo.com,附上可复现步骤。我们将在 48 小时内回复,且不会追究善意研究者的责任。