所有秘密均为端到端加密。我们生成一个随机哈希值,并使用 AES-256-GCM(高级加密标准 - Galois/计数器模式)在客户端对您的秘密进行加密。加密密钥不会被存储,而是作为秘密链接的一部分。没有完整的链接,任何人(包括我们)都无法解密您的消息。
如果您提供了密码,我们会在标准加密的基础上额外加密您的秘密。即使攻击者能够访问我们的整个基础设施,他们也无法读取您的消息。秘密被查看后,我们会永久从数据库中删除它,且无任何备份。
安全报告(实时)
安全风险评估
点击实时验证第三方审计。
安全设计
零信任架构
我们假设任何实体——无论内部还是外部——都不是天然可信的。每个请求都会被验证。
端到端加密
机密在传输前在您的设备上使用 AES-256-GCM 加密。服务器从不查看明文。
最小攻击面
我们限制服务、入口点和依赖项以减少暴露。复杂度越低,漏洞越少。
定期更新
依赖项保持最新,并监控已知 CVE,以便在漏洞被利用前关闭它们。
完全透明
所有代码均在 GitHub 上开源。任何人都可以审计实现。
自动化安全测试
自动化工具在每次推送时扫描依赖项中的漏洞。问题在到达生产环境前就会被发现。
基础设施
我们依赖少量可信且经过审计的提供商——没有不必要的第三方。
| 提供商 | 角色 | ISO 27001 | GDPR | SOC 2 Type II |
|---|---|---|---|---|
| Vercel Inc. | 网站与 API 托管 | |||
| Neon Inc. | Postgres 数据库 | |||
| Flow Swiss AG | 对象存储(文件) |
常见问题
负责任的漏洞披露
安全是我们的首要任务——如果您发现漏洞,欢迎通过 security@scrt.link 负责任地进行披露,以便我们在影响用户前及时修复。有效的报告应说明漏洞及其潜在影响、重现步骤,以及相关的概念验证代码或截图。