II. 配置&环境

来源:腾讯浏览 718 扫码分享 2021-05-26 22:55:48

II. 配置&环境

II. 配置&环境

2.1 依赖库

2.1.1【必须】使用安全的依赖库

使用自动工具，检查依赖库是否存在后门/漏洞，保持最新版本

2.2 运行环境

2.2.1 【必须】使用非root用户运行Node.js

2.3 配置信息

2.3.1【必须】禁止硬编码认证凭证

禁止在源码中硬编码AK/SK、数据库账密、私钥证书等配置信息
应使用配置系统或KMS密钥管理系统。

2.3.2【必须】禁止硬编码IP配置

禁止在源码中硬编码IP信息

为什么要这么做？

硬编码IP可能会导致后续机器裁撤或变更时产生额外的工作量，影响系统的可靠性。

2.3.3【必须】禁止硬编码员工敏感信息

禁止在源代码中含员工敏感信息，包括但不限于：员工ID、手机号、微信/QQ号等。

当前内容版权归腾讯或其关联方所有，如需对内容或内容相关联开源项目进行关注与资助，请访问腾讯 .

本文档使用 BookStack 构建

展开/收起文章目录