安全性

Mermaid 團隊非常重視 Mermaid 和使用 Mermaid 的應用程式的安全性。本頁說明如何回報您發現的任何漏洞，並列出將漏洞風險降至最低的最佳實務做法。

回報漏洞

若要回報漏洞，請寄電子郵件至 security@mermaid.live，並說明問題、您建立問題所採取的步驟、受影響的版本，以及（如果知道）問題的緩解措施。

我們的目標是在三個工作天內回覆，可能更快。

在我們努力解決您回報的問題時，您應該會預期密切合作。如果您沒有收到及時的關注和定期更新，請再次聯絡 security@mermaid.live。

您也可以透過我們的公開 Discord 聊天頻道與團隊聯絡；但是，請務必在回報問題時寄電子郵件至 security@mermaid.live，並避免在公開場合透露有關漏洞的資訊，因為這可能會讓使用者處於風險之中。

最佳實務做法

隨時掌握最新的 Mermaid 版本。我們會定期更新 Mermaid，這些更新可能會修正先前版本中發現的安全性缺陷。請查看 Mermaid 版本資訊以了解與安全性相關的更新。

隨時更新您的應用程式依賴項。請務必升級您的套件依賴項，以保持依賴項為最新狀態。避免釘選到特定版本的依賴項，如果您這樣做，請務必定期檢查您的依賴項是否有安全性更新，並據此更新釘選。

設定 DomPurify

預設情況下，Mermaid 使用基準的 DOMPurify 設定。可以透過將 dompurifyConfig 鍵新增到 Mermaid 選項來覆寫傳遞至 DOMPurify 的選項。這可能會破壞 Mermaid 的輸出，因此請謹慎使用。