docs(security): 安全评估报告 + IDOR修复方案 + 安全开发规范v1.1
- 新增安全评估报告与P0修复方案(IDOR水平越权~29接口 + 全局LLM脱敏) - 新增安全开发规范v1.1(9大安全规范 + Code Review检查清单) - 采纳架构师审查意见补充OSS签名URL、导出审计、接口限流、依赖安全 - 更新开发规范README索引 Made-with: Cursor
This commit is contained in:
@@ -136,12 +136,34 @@ test: 测试 chore: 构建 ci: CI/CD
|
||||
|
||||
---
|
||||
|
||||
### 12. 安全开发规范 ⭐⭐⭐⭐⭐ ✅ 新增
|
||||
**文件:** `12-安全开发规范.md`
|
||||
|
||||
**核心内容:**
|
||||
- API 访问控制(防 IDOR 水平越权)
|
||||
- 数据库查询安全(防 SQL 注入)
|
||||
- LLM 调用 PII 脱敏规范
|
||||
- 认证与授权规范
|
||||
- 敏感信息管理(防泄露)
|
||||
- 前端安全规范
|
||||
- 日志与错误处理安全
|
||||
- 部署与网络安全
|
||||
- Code Review 安全检查清单
|
||||
|
||||
**使用场景:**
|
||||
- 新增 API 接口时,检查访问控制是否正确
|
||||
- Code Review 时,对照安全检查清单逐项检查
|
||||
- 处理用户数据时,确认脱敏和加密要求
|
||||
|
||||
---
|
||||
|
||||
## 🎯 规范优先级
|
||||
|
||||
### P0 - 必须遵守
|
||||
- ✅ 数据库设计规范
|
||||
- ✅ API设计规范
|
||||
- ✅ Git提交规范(Commit Message)
|
||||
- ✅ **安全开发规范** ⭐ 新增
|
||||
|
||||
### P1 - 强烈建议
|
||||
- ✅ 代码规范(TypeScript/React)
|
||||
@@ -165,7 +187,9 @@ test: 测试 chore: 构建 ci: CI/CD
|
||||
**我要提交代码:** → `06-Git提交规范.md` ✅
|
||||
**我要解决中文乱码:** → `06-Git提交规范.md` (第4节) ✅
|
||||
**我要配置远程仓库:** → `06-Git提交规范.md` (第1节) ✅
|
||||
**我要编写测试:** → `07-测试规范.md`
|
||||
**我要编写测试:** → `07-测试规范.md`
|
||||
**我要确保代码安全:** → `12-安全开发规范.md` ✅
|
||||
**我要做 Code Review:** → `12-安全开发规范.md` (第9节 检查清单) ✅
|
||||
|
||||
---
|
||||
|
||||
|
||||
Reference in New Issue
Block a user