怎么保证我们软件安全？

软件安全不是上线前做一次扫描就完事，要分基础设施、应用代码、数据、运维这四层各自做实。基础设施侧靠云防护、网络隔离、密钥管理；应用代码靠权限分级、接口鉴权、依赖检查；数据侧靠分级加密、最小授权、操作留痕；运维侧靠监控告警、漏洞响应、定期备份与演练。客户有更高要求时，再叠加等保测评或第三方渗透测试。

我们在交付时一般按这套清单逐项落实：

基础设施层

• 优先用腾讯云、阿里云的标准 VPC + 安全组架构，公网入口走 WAF + 高防 IP；
• 数据库、缓存、消息队列全部放内网，禁止公网访问；
• HTTPS 全链路，TLS 1.2 以上，证书自动续期；
• 密钥、Token、口令统一放 KMS / 密钥管理服务，不进代码仓库；
• 日志、备份独立存储，至少有一份跨可用区或跨地域副本。

应用代码层

• 用户认证：JWT / OAuth 2.0 标准实现，敏感操作做二次验证；
• 接口鉴权：所有内部接口要带签名或 Token，禁止裸接口；
• 权限分级：RBAC 或 ABAC，前后端双重校验，避免越权；
• 输入校验：参数白名单、SQL 用 ORM 或预编译、富文本过滤 XSS；
• 依赖管理：上线前过一次 npm audit / pip-audit / Snyk，定期升级；
• 不打印密码、Token、身份证、银行卡到日志。

数据层

• 数据分级：公开 / 内部 / 机密 / 敏感个人信息四级；
• 敏感字段单独加密存储，密钥与数据分库；
• 数据库账号最小授权，业务账号不允许 DROP / TRUNCATE；
• 后台对敏感数据的查看做脱敏 + 操作留痕，谁查了什么时间查了都能追溯。

运维层

• Prometheus + Grafana 做系统监控，Sentry 做应用错误监控；
• 异常登录、批量操作、高频接口请求要触发告警；
• 漏洞响应：上游有 CVE 时 48 小时内评估是否影响；
• 备份策略：每日全量 + 增量，每月做一次恢复演练，不演练的备份等于没备份；
• 离职 / 调岗：账号要在当天回收。

更高要求的客户：

• 涉及 PII、支付、医疗、政务，需要过等保 2.0 二级 / 三级测评，我们配合做技术整改；
• 上线前可以请第三方安全厂商做一次黑盒渗透测试，把发现的问题修完再上；
• 长期运行的系统建议每年做一次安全复审。

滚水科技在交付时会把以上清单作为标准动作，验收阶段提供一份安全自查表给客户存档；如果项目对合规有更高要求（金融、医疗、政务），我们也可以协助对接专门的安全测评机构。