#  稳定性和安全规范

##  前端性能标准
- 首屏启动
  - 页面大小<200k
  - 加载时间<2s
- 非首屏启动
  - 页面大小<200k
  - 加载时间<1s

##  前端稳定性标准
- JS异常，JS异常次数为0
- 白屏，白屏率<0.01%
- 页面无响应次数为0
- 资源加载无异常
- 网络请求成功率>99.99%
- 业务接口请求时间<200ms

## 安全
### 账号安全
- 密码强度要求，建议字母+数字+特殊字符且长度大于8位
- 账号口令建议半年更换；每次更换不能与前3次密码重复
- 管理登陆后台需要供账号密码外的其他二次身份验证方式，如：短信，OTP 或手机扫码等
- 管理员账号建议一人一号，不允许共用
- 管理员账号需要定期审核，清理无效或过期账号
### 数据安全
- 所有数据传输必须采用 HTTPS 进行加密传输
- 系统前端展示部分对具备个人唯一标识的敏感信息（如：手机号,身份证,银行卡号等）应进行掩码处理
- 对于可批量下载导出（如：员工通讯录）等敏感功能，需要进行手机短信验证，验证后方可下载（并记录日志）或者有相应的审批记录
- 敏感数据（如：身份证，银行卡号，手机号等）在数据库中应加密存储
- 密码存储应采用不可逆的加密方式
- 敏感数据在内部测试使用的时候需要进行脱敏处理
- 建议ISV系统部署到安全的云环境(推荐亚马逊云，阿里云，腾讯云，华为云等)
- 生产数据库需要定期备份（异地和离线），确保数据在意外发生时可以进行数据恢复
- 生产数据库禁止公网IP直接连接和访问

### 应用安全
- 遵循 OWASP 安全开发原则和规范，防止常见漏洞比如：SQL注入、XSS、文件上传、越权查询等漏洞导致数据泄漏
- 开发者需要定期对应用进行安全检查和扫描，检查频率至少为每半年一次，并留存安全报告供审阅和验收
- 飞书开放平台为开发者提供安全扫描服务，开发者应当及时配合飞书开放平台对发现的漏洞进行及时的修复

### 主机安全
- 不得暴露135、445、3306、6379、27017等高风险端口；服务器只对外开放80，443端口
- 服务器需要设置防火墙访问规则，只允许特定的设备（MAC）或IP访问

### 密钥安全
- 密钥禁止公开上传到 Github 等第三方开放平台
### 日志管理
- 管理员操作日志（包括操作系统、数据库操作日志、以及前台日志）需要留存至少6个月，并进行备份，且管理员无日志修改权限 

### 合规审计
- 建立审计员角色，可以查看各类日志记录  

### 安全检测工具
- 开放端口扫描
  - [nmap](https://nmap.org/)
- 免费检测工具
  - [W3af](https://github.com/andresriancho/w3af)
  - [Arachni](https://github.com/Arachni/arachni)
- 付费检测工具
  - [WVS](https://www.acunetix.com/support/docs/wvs/)
  - [Qualys](https://www.qualys.com/apps/web-app-scanning/)
  - [Nessus](https://www.tenable.com/downloads/nessus)

### 参考资源
- [OWASP安全开发规范](http://www.owasp.org.cn/OWASP-CHINA/owasp-project/download/OWASP_SCP_Quick_Reference_Guide-Chinese.pdf)