← starnum.com.tw

資安揭露政策

安全政策 v2.0

Version 2.0 · · Governance 2.0 public evidence surface

治理 2.0 摘要

此頁已納入 starnum 公開治理 2.0 介面,與系統卡、資料治理、透明度報告、使用政策和安全政策使用同一套證據層。

治理摘要

本頁定義安全聯絡、揭露邊界、crawler access 與發布完整性如何被公開記錄。

適用範圍

涵蓋 security.txt route、crawler policy、可部署安全 artifacts、揭露限制、GPG 狀態與 evidence registry 連結。

實作狀態

2.0 讓安全細節足以被驗證,同時不暴露 secrets 或可利用的內部資訊。

starnum.com.tw 重視使用者資料安全與網站安全。我們歡迎安全研究人員透過負責任揭露(Responsible Disclosure)的方式通報潛在漏洞,並承諾以開放、尊重、即時的態度回應。

聯絡方式

請透過以下管道回報資安問題:

本站為單人營運,由命理師本人即時處理,回應速度優於傳統 email。

機器可讀版本:/.well-known/security.txt(符合 RFC 9116)

回報範圍

不在範圍內:第三方服務(Cloudflare 基礎設施本身、Google Analytics、Supabase 平台本身)、社交工程攻擊、實體安全。

回報內容建議

時程承諾

里程碑目標時程
收到通知確認3 個工作天內
初步評估與嚴重性分級7 個工作天內
低/中風險修復30 天內
高風險修復60 天內
嚴重漏洞修復90 天內(若需更長時間會主動告知)
公開揭露(協調後)修復完成後,與研究人員協調時機

我們的承諾

研究人員守則

感謝名單

感謝以下安全研究人員協助提升 starnum.com.tw 的安全性:

HTTPS 與資料安全

目前機器稽核快照

此區塊只使用本機可追溯的稽核資料,不新增無來源宣稱。日期為實際產出日。

2026-07-11
維護日期
15/15
LLM 閉環
180/180
治理頁
0
JSON-LD 錯誤
497,120
KB chunks (DEGRADED)
0
TM entries; verified 0
7,976/7,976
AI answer-ready; failures 0
critical
狀態頁: 2 critical, 2 warnings

內容維護與更新判斷

此區塊讓治理頁內容可被機器檢查:每頁都必須公開它依賴哪些資料、哪些關聯頁會影響它,以及哪個 gate 會提報需要更新。

更新判斷

此頁不是靜態文案;來源資料、相關政策、公開指標或生成器變更時,AI Ops 只產出證據,由 AI agent 判斷是否改文。

人工邊界

系統負責偵測、提報與留證;最終修復與語氣判斷由 Codex/Claude 等 agent 執行。

驗證指令

node scripts/verify-trust-pages.js --check

可查驗 Evidence Layer

此區塊不是口號;每一個核心宣稱都有 claim id、來源 JSON、hash 與可重跑的驗證指令。公開頁只揭露可公開的治理證據,不公開原始碼、密鑰、私有資料或可被濫用的攻擊面細節。

Claim ID可查驗值狀態責任頁來源與驗證
claim.public-url-manifest.indexable-count
公開 URL 與 canonical 清單
38,175 indexable URLs verified sitewide node scripts/generate-public-evidence-manifest.js --dry
claim.trust-pages.audit-pass-rate
治理頁機器稽核
180/180 pass verified sitewide node scripts/verify-trust-pages.js --check
claim.discovery-surface.zero-errors
AI discovery surface 稽核
{"errors":0,"warnings":0} verified sitewide node scripts/verify-discovery-surface.js
claim.structured-data.jsonld-errors
JSON-LD / 結構化資料稽核
{"structured_data_invalid_files":0,"breadcrumb_count":28274,"faq_count":27506,"dataset_count":30,"article_count":27406} verified sitewide node scripts/site-machine-audit.js
claim.status.sla-state
狀態頁 SLA 來源
critical / 1 critical, 0 warnings verified sitewide node scripts/generate-status-page.js
claim.provider-alignment.openai-anthropic-gemini
OpenAI / Anthropic / Google Gemini 對標
benchmark alignment only unless code/config evidence exists verified sitewide node scripts/verify-public-evidence.js --check
claim.transparency-report.sha256
透明度報告 SHA-256 錨定
{"report":"transparency/report-2026-Q2.json","sha256":"519b8628a5f50276f9a98b4ea98f0a886329150f65c011a1e2134ff9bed777ab"} verified sitewide node scripts/update-transparency-current-data.js
claim.release-integrity.gpg-signing
GPG signing 狀態
GPG signing active locally; checked GitHub commit verification is valid verified sitewide gpg --list-secret-keys --keyid-format=long && git log -1 --show-signature
claim.security-policy.security-header-state
Security header 狀態機
{"state":"A_GRADE"} verified security-policy node scripts/verify-public-evidence.js --check
claim.security-policy.security-txt-route
security.txt 機器可讀路徑
{"publicPath":"/.well-known/security.txt"} verified security-policy node scripts/repair-internal-links.js --check
claim.security-policy.crawler-access
AI crawler discovery 存取控制
{"artifacts":["/robots.txt","/llms.txt","/.well-known/llms.txt"]} verified security-policy node scripts/verify-discovery-surface.js

系統卡 V2.0:技術透明公開層

此層把可公開的技術治理證據集中呈現:架構、資料來源、AI 使用邊界、品質閘門、發布完整性與供應商對標。公開範圍刻意排除原始碼、密鑰、可被濫用的攻擊面細節與私人資料。

公開架構

Cloudflare Pages/Workers、R2/D1/KV/Pagefind 與本機生成腳本共同構成公開網站與治理資料發布鏈。對外只公開行為、狀態與可驗證資料源,不公開密鑰或內部操作權限。

AI 使用揭露

程式碼掃描目前可驗證的 production inference 模型:未在 production code scan 中找到可驗證模型設定。OpenAI、Anthropic、Google Gemini 三方作為治理框架對標;未有程式碼或設定證據者,不寫成已上線使用。

品質與安全閘門

治理頁稽核 180/180 通過、JSON-LD 錯誤 0、discovery surface 錯誤 0。狀態頁如實顯示 critical / 2 critical, 2 warnings。

資料與可追溯性

知識庫 497,120 chunks、TM 0 entries、AI answer-ready 7,976/7,976。公開數據追到 data/state-machine/*、data/*audit*.json 與 transparency 報告。

治理面向OpenAIAnthropicGoogle GeminiStarnum 落實證據
模型/系統卡揭露OpenAI models + safety docsClaude model docs + system/model cardsGemini model docs + safety settingssystem-card、model-card、methodology、benchmark、transparency-log
安全評估與使用邊界Safety best practices / deployment checklistResponsible Scaling / safety policyGemini safety controls / policyAI safety、acceptable-use、ethics、risk boundary copy、crawler policy audit
資料治理Data controls / privacy controlsprivacy and data handling docsGemini API data governance referencesprivacy、ai-data-governance、KB/TM source tracking、SHA-256 hashes
監控與發布production checklist / eval disciplinesystem-card transparency disciplinemodel/version documentation disciplinedeploy.js、status.html、SLA report、trust-pages-machine-audit、sitemap/hreflang audits

V2.0 的重點不是多寫形容詞,而是把「已落實」與「尚未落實」分開:production 使用、治理對標、狀態異常、GPG 簽署、SLA breach 都依來源資料如實公開。

發布完整性與 GPG

GPG signing 尚未啟用;本機未配置可用 gpg 工具或 signing key。公開完整性目前以 Git commit history + SHA-256 hash 追蹤。只有在實際 signed commit 後才會標示為已簽署。

OpenAI / Anthropic / Google Gemini 對標

本站治理文件同步對照三家公開框架:模型文件、系統卡/模型卡、安全評估、資料治理與使用政策。這是治理對標,不等於宣稱每一家都已用於 production inference。 官方文件檢查日:2026-07-11

對標來源治理焦點本站揭露官方來源
OpenAI模型文件、最新模型說明、安全最佳實務、資料控制。目前未在 production code scan 中找到可驗證模型設定;模型供應商僅列為治理對標。https://platform.openai.com/docs/models
AnthropicClaude 模型文件、system card / model card、Responsible Scaling 與安全政策。目前未在 production code scan 中找到可驗證模型設定;模型供應商僅列為治理對標。https://docs.anthropic.com/en/docs/about-claude/models
Google GeminiGemini API 模型文件、安全設定、資料治理與平台政策。目前未在 production code scan 中找到可驗證模型設定;模型供應商僅列為治理對標。https://ai.google.dev/gemini-api/docs/models