安全 ​

Mermaid 团队非常重视 Mermaid 及使用 Mermaid 的应用程序的安全性。本页面描述了如何报告您可能发现的任何漏洞，并列出了最佳实践以最小化引入漏洞的风险。

报告漏洞 ​

要报告漏洞，请发送电子邮件至security@mermaid.live，描述问题、创建问题的步骤、受影响的版本，以及如果已知，问题的缓解措施。

我们目标在三个工作日内回复，可能会更快。

在解决您报告的问题时，您应该期待我们之间的紧密合作。如果您没有及时得到关注和定期更新，请再次联系security@mermaid.live。

您也可以通过我们的公共Discord聊天频道联系团队；但是，请在报告问题时发送电子邮件至security@mermaid.live，并避免在公开场合透露有关漏洞的信息，因为这可能会使用户面临风险。

最佳实践 ​

保持与最新Mermaid版本的同步。我们定期更新Mermaid，这些更新可能会修复之前版本中发现的安全缺陷。请查看Mermaid的发布说明以获取与安全相关的更新信息。

保持应用程序的依赖项最新。确保升级您的包依赖项以保持依赖项的最新状态。避免将依赖项固定到特定版本，如果这样做，请确保定期检查您的依赖项是否有安全更新，并相应地更新固定版本。

配置 DomPurify ​

默认情况下，Mermaid 使用基线 DOMPurify 配置。可以通过在 Mermaid 选项中添加 dompurifyConfig 键来覆盖传递给 DOMPurify 的选项。这可能会破坏 Mermaid 的输出，因此请谨慎使用。