安全

安全与漏洞披露

CitationGraph 强调服务端采集、明确的运行时控制，以及可审计的遥测表面。

安全重点

产品部署强调服务端运行时控制、低客户端负担，以及围绕 bot 与 agent 流量的可追踪证据。

客户端与 CitationGraph 服务之间的所有传输数据使用 TLS 1.2 或更高版本加密。托管产品中的静态数据使用 Google Cloud 默认加密（AES-256）。API 令牌和 OAuth refresh token 以加密形式存储，绝不在客户端代码或日志中暴露。

托管产品中对客户数据的访问仅限于运营支持所需的授权人员。所有管理访问均有日志记录且可审计。CitationGraph 在内部系统中实施基于角色的访问控制。

如果你发现安全漏洞，请发送至 security@gravity.dev。我们会在 48 小时内确认收到你的报告，并在 5 个工作日内提供初步评估。请勿在我们有合理的调查和回应机会之前公开发布敏感细节。

CitationGraph 正在推进正式合规认证。当前重点包括 SOC 2 Type II 准备和与适用数据保护法规的对齐。如果你需要用于采购评审的特定安全文档，请联系 analytics@gravity.dev。

请使用本页的直接联系渠道，而不是公开发布敏感细节。团队会沿这条路径处理负责任披露。

公开说明强调服务端采集、明确的运行时控制、低客户端负担，以及围绕 bot 与 agent 流量的可审计证据。