研发安全红线

安全合规口诀

1. 查询变更需分离，生产变更需谨慎
2. 堡垒机操作需规范，账号仅能自己用
3. 生产密码不泄露，密码放于信封内
4. 监控告警必响应，及时处理保安全
5. 测试不能连生产，外包不能上生产
6. 敏感数据勿存储，未经审批勿外传
7. 生产问题逐级报，迟报漏报需问责
8. 规章制度千万条，安全防控第一条

研发安全九大红线

1. 消极响应漏洞处理，漏洞修复超时，导致线上漏洞被恶意利用
2. 无视安全团队提示安全风险和改进方案，强行上线，导致出现线上漏洞被恶意利用
3. 内部群发邮件、群聊、分享时泄漏敏感信息（线上私钥、后台密码、敏感case等）
4. 在未脱敏的情况下，直接将生产数据用于线下测试
5. 利用公司资源不当牟利（线上部署私人服务，滥用计算资源挖矿等）
6. 利用工作权限查询与工作无关的数据（无业务场景下，严禁私自查询用户或业务数据）
7. 擅自外部披露公司敏感数据、用户信息、员工资料等
8. 在系统中植入后门，私留线上调试开关、入口等
9. 在未授权情况下将敏感信息（系统代码、业务数据、产品文档等）储存或发布到外部或者Github