amber-pm/.github/ISSUE_TEMPLATE/security-vulnerability-report.yml

name: "🛡️ 安全漏洞报告"
description: "报告 APM 容器项目中可能存在的安全漏洞。请勿公开披露细节。"
title: "[安全]: "
labels: ["security", "needs-triage"]
body:
  - type: markdown
    attributes:
      value: |
        **感谢您对 APM 容器项目安全的关注！**

        为了保护我们的用户，我们非常重视负责任的漏洞披露。
        **请勿在此表格中描述具体的漏洞细节。** 此 Issue 将作为跟踪入口，后续的敏感信息沟通将通过私有渠道进行。

        ---

        **重要提示：**
        *   我们承诺遵循负责任的披露原则。
        *   在修复之前公开漏洞细节可能会对其他用户造成风险。
        *   我们的安全团队将在收到报告后尽快与您联系。

  - type: input
    id: contact
    attributes:
      label: "联系方式"
      description: "请提供您的可靠联系方式（例如：电子邮件、Gitee ID 或 GitHub ID），以便我们安全团队的成员与您私聊。"
      placeholder: "例如：email@example.com 或 @yourusername"
    validations:
      required: true

  - type: textarea
    id: vulnerability-overview
    attributes:
      label: "漏洞类型/概述"
      description: "请在不涉及技术细节的前提下，简要描述您发现的漏洞类型和潜在影响。"
      placeholder: |
        例如：
        - 类型：潜在的容器逃逸风险
        - 影响：可能允许攻击者访问宿主机资源
        - 组件：与数据收集器相关的某个组件
    validations:
      required: true

  - type: dropdown
    id: severity
    attributes:
      label: "初步严重性评估"
      description: "根据您的理解，这个漏洞的潜在严重程度如何？"
      options:
        - "Critical - 远程代码执行、严重权限提升等"
        - "High - 信息泄漏、权限绕过等"
        - "Medium - 有限的信息泄漏或本地漏洞"
        - "Low - 微小的安全策略规避"
        - "尚未评估"
    validations:
      required: true

  - type: input
    id: affected-versions
    attributes:
      label: "受影响的版本"
      description: "您是在哪个或哪些版本中发现此问题的？（如果已知）"
      placeholder: "例如：v1.2.0, v1.3.0-beta1"

  - type: textarea
    id: next-steps
    attributes:
      label: "后续步骤确认"
      attributes:
        value: |
          **您提交此报告后，会发生以下事情：**
          1.  此 Issue 将被标记为 `security` 和 `needs-triage`。
          2.  项目维护人员会通过您提供的联系方式（而非在此公开评论）与您私下联系。
          3.  我们将共同协作调查、验证并修复该漏洞。
          4.  修复程序准备就绪后，我们将发布安全更新，并在适当的时候公开致谢。

          再次感谢您为保障社区安全所做的负责任的行为！