# 安全性指引 (Security Guidelines)

## 強制性安全檢查

在進行任何提交 (Commit) 之前：
- [ ] 無硬編碼金鑰 (API keys, passwords, tokens)。
- [ ] 所有使用者輸入皆經過驗證。
- [ ] 預防 SQL 注入 (使用參數化查詢)。
- [ ] 預防 XSS (進行 HTML 清洗/過濾)。
- [ ] 啟用 CSRF 保護。
- [ ] 驗證身分驗證 (Authentication) 與授權 (Authorization)。
- [ ] 對所有端點 (Endpoints) 實施速率限制 (Rate limiting)。
- [ ] 錯誤訊息不會洩漏敏感數據。

## 金鑰管理 (Secret Management)

- **絕對不要** 在原始碼中硬編碼金鑰。
- **始終** 使用環境變數或秘密管理工具 (Secret manager)。
- 驗證啟動時所需的金鑰是否存在。
- 輪換任何可能已洩漏的金鑰。

## 安全回應協定

若發現安全性問題：
1. 立即 **停止 (STOP)**。
2. 使用 **security-reviewer** agent。
3. 在繼續之前先修復「關鍵 (CRITICAL)」問題。
4. 輪換任何洩漏的金鑰。
5. 審查整個程式碼庫是否存在類似問題。