security

安全指南

强制安全检查

任何提交前:

  • 无硬编码密钥(API keys、密码、tokens)
  • 所有用户输入已验证
  • SQL 注入防护(参数化查询)
  • XSS 防护(清理 HTML)
  • CSRF 保护已启用
  • 认证/授权已验证
  • 所有端点启用速率限制
  • 错误消息不泄露敏感数据

密钥管理

  • 永不在源代码中硬编码密钥
  • 始终使用环境变量或密钥管理器
  • 启动时验证必需密钥是否存在
  • 轮换任何可能已暴露的密钥

安全响应协议

发现安全问题时:

  1. 立即停止
  2. 使用 security-reviewer agent
  3. 继续前修复 CRITICAL 问题
  4. 轮换任何已暴露密钥
  5. 审查整个代码库查找类似问题