本项目 DarkEye 是一款本地运行的影片元数据管理与分析软件,强调隐私与本地控制。本文件说明本项目的数据存放位置、安全考虑,以及如何报告安全问题。
- 公共数据存放在
resources/public目录,包括但不限于:public.dbworkcovers/actressimages/actorimages/
- 私有数据(如更敏感的用户自定义信息)存放在
resources/private目录。 - 日志
log - 配置文件
settings.ini请根据实际需要妥善备份与保护上述目录,避免将这些目录直接暴露到公共共享盘或未经授权的同步服务中。
- 公共数据存放在
data/public目录,包括但不限于:public.dbworkcovers/actressimages/actorimages/
- 私有数据(如更敏感的用户自定义信息)存放在
data/private目录。data文件夹下面还有 settings.ini设置shortcuts.json用户自定义快捷键crawler_nav_buttons.jsonjson驱动的外链,用户可以自行编辑网站
请根据实际需要妥善备份与保护上述目录,避免将这些目录直接暴露到公共共享盘或未经授权的同步服务中。
- DarkEye 默认在本地运行,不会主动将数据库内容或封面图片等数据上传到开发者控制的服务器。
- 程序运行产生的日志、缓存等文件中,可能包含:
- 访问的站点 URL
- 本地文件路径
- 元数据字段(如作品标题、演员名等)
- 在共享日志或截图前,请自行检查是否包含个人隐私或敏感信息。
- 程序会读写以下类型的本地资源:
data/public与data/private目录下的数据文件与图片;- 配置文件与缓存目录(如
settings.ini、日志文件等)。
- DarkEye 在需要采集数据时,可能会通过本地 FastAPI 接口与浏览器插件通信,并访问外部网站:
- 此类访问仅用于抓取影片元数据;
- 请确保你的网络环境与代理配置符合当地法规及站点使用条款。
以下情况通常不被视为本项目的安全漏洞:
- 用户以管理员 / root 权限运行程序导致的系统破坏;
- 用户修改源码或编写自定义脚本 / 插件引入的任意代码执行风险;
- 用户自行下载的恶意数据文件(含恶意元数据、图片等);
- 第三方依赖库本身的安全问题(请直接向对应项目报告)。
如果你认为 DarkEye 存在潜在的安全问题,请不要在公开 issue 中直接披露细节。
你可以通过以下方式私下联系我们:
- 邮箱:
security@example.com(请根据实际情况替换)
在报告时,请尽量包括:
- 使用的操作系统与 DarkEye 版本;
- 复现步骤(最好包含最小复现用例);
- 预期行为与实际行为;
- 如果可以,提供 PoC(Proof of Concept)代码或脚本。
我们会尽力在合理时间内回复并评估问题,必要时发布修复版本,并在得到你许可的前提下在变更日志中致谢。