【仅供内部供应商使用,不提供对外解答和培训】
【仅供内部供应商使用,不提供对外解答和培训】
面向人群:合格开发者
发布日期:2021年11月24日
目标:提高生态开发安全意识,加强交付规范
背景
目前公司已发生因涉敏信息泄露导致的处罚事件,在生态任务和商城插件交付材料中也存在这种问题。目前最迫切的事开源时的去敏,需要花较多的精力去查找要开源的材料中哪些地方隐藏着涉敏信息。从长远看,大家未来复用别人的代码时可能都会涉及到这个过程。故应该进行相应的规范性约束,以降低大家的筛选投入。
执行
规范拟自2021年11月24号正式执行,正式执行后提交验收的材料若有违反则按每次每点10块钱进行处罚,并勒令改正!
定义
涉敏信息:任何能够用于确定 人/事/物/机构组织的数据;任何明显具备了保密属性的数据(比如:密钥、token、授权码、验证码)。
常见场景:公司名称/全拼(部分全拼)/logo单词/ID/密钥/设备识别号/人员信息(姓名、手机号、邮箱、其他账号)/域名/ip
细则
- 插件除需求文档、测试文档、使用文档以外任意位置禁止出现客户公司的名称、全拼(部分全拼)、logo(单词)、
- 允许出现首字母简写(当首字母简写与logo一致时也不允许出现)
- 所有客户提供的涉敏信息禁止写到代码中!即便是注释中也不允许!只能以配置的形式引入。
- 内置到插件JAR包内的配置文件中也不允许写这些内容!包含敏感信息的配置文件必须放到插件外部,
- 由客户自行配置(插件内部允许放一个只有定义但是没有实际指的配置,以便指导客户配置)
- 所有生态任务插件ID命名格式统一为
- com.eco.plugin.[author].[功能词缀1].[功能词缀2].[功能词缀3]
- author:原始开发者(太长可以使用简写)
- 功能词缀 至少1个,最多3个 一个词缀至多允许使用一个英文单词!单个词缀中禁止使用大写字母或多个单词,允许使用专有名词缩写
- 包名、类名、变量名、函数名、变量值、常量文本、 禁止使用任务编号。任务编号仅允许出现在注释中!
- 若使用了客户提供的源码文件(完整的代码文件,而不是代码片段),无需保障该源码文件去敏!但必须在交付文档中说明清楚,哪些源码文件和JAR包是客户提供的。
Overview
Content Tools