30 lines
1.0 KiB
Markdown
30 lines
1.0 KiB
Markdown
|
# 安全性指引 (Security Guidelines)
|
||
|
|
|
||
|
|
## 強制性安全檢查
|
||
|
|
|
||
|
|
在進行任何提交 (Commit) 之前:
|
||
|
|
- [ ] 無硬編碼金鑰 (API keys, passwords, tokens)。
|
||
|
|
- [ ] 所有使用者輸入皆經過驗證。
|
||
|
|
- [ ] 預防 SQL 注入 (使用參數化查詢)。
|
||
|
|
- [ ] 預防 XSS (進行 HTML 清洗/過濾)。
|
||
|
|
- [ ] 啟用 CSRF 保護。
|
||
|
|
- [ ] 驗證身分驗證 (Authentication) 與授權 (Authorization)。
|
||
|
|
- [ ] 對所有端點 (Endpoints) 實施速率限制 (Rate limiting)。
|
||
|
|
- [ ] 錯誤訊息不會洩漏敏感數據。
|
||
|
|
|
||
|
|
## 金鑰管理 (Secret Management)
|
||
|
|
|
||
|
|
- **絕對不要** 在原始碼中硬編碼金鑰。
|
||
|
|
- **始終** 使用環境變數或秘密管理工具 (Secret manager)。
|
||
|
|
- 驗證啟動時所需的金鑰是否存在。
|
||
|
|
- 輪換任何可能已洩漏的金鑰。
|
||
|
|
|
||
|
|
## 安全回應協定
|
||
|
|
|
||
|
|
若發現安全性問題:
|
||
|
|
1. 立即 **停止 (STOP)**。
|
||
|
|
2. 使用 **security-reviewer** agent。
|
||
|
|
3. 在繼續之前先修復「關鍵 (CRITICAL)」問題。
|
||
|
|
4. 輪換任何洩漏的金鑰。
|
||
|
|
5. 審查整個程式碼庫是否存在類似問題。
|