1.0 KiB

Raw Blame History

安全性指引 (Security Guidelines)

強制性安全檢查

在進行任何提交 (Commit) 之前：

無硬編碼金鑰 (API keys, passwords, tokens)。
所有使用者輸入皆經過驗證。
預防 SQL 注入 (使用參數化查詢)。
預防 XSS (進行 HTML 清洗/過濾)。
啟用 CSRF 保護。
驗證身分驗證 (Authentication) 與授權 (Authorization)。
對所有端點 (Endpoints) 實施速率限制 (Rate limiting)。
錯誤訊息不會洩漏敏感數據。

金鑰管理 (Secret Management)

絕對不要 在原始碼中硬編碼金鑰。
始終使用環境變數或秘密管理工具 (Secret manager)。
驗證啟動時所需的金鑰是否存在。
輪換任何可能已洩漏的金鑰。

安全回應協定

若發現安全性問題：

立即 停止 (STOP)。
使用 security-reviewer agent。
在繼續之前先修復「關鍵 (CRITICAL)」問題。
輪換任何洩漏的金鑰。
審查整個程式碼庫是否存在類似問題。