Meta 应用开发

开发者数据安全最佳实践

如果您以开发者身份使用开放平台,您有责任根据数据的敏感性,以符合或超过行业标准的方式保护开放平台数据的安全。以下是开发者在决定开放平台数据安全措施时可能认为有帮助的一些关键原则和行业最佳实践。这些最佳实践仅可用作指导,不能保证您已履行 Meta 开放平台条款下的义务,因为这些最佳实践并未(也不能)涵盖每个可想象的场景。您是否达到或超过行业标准将取决于您访问和/或处理的开放平台数据的敏感性以及您的独特技术环境。

原则最佳实践

保护通信安全(传输中的数据)

  • 使用受信任认证机构 (CA)
  • 确保证书配置正确
  • 尽可能使用最新版传输层安全协议 (TLS)
  • 对所有网络连接实行加密
  • 测试网络连接,确认不会以明文方式意外发送数据
  • 确认 HTTP 标头中的元数据不包含个人信息

保护静止数据的安全

  • 使用标准加密;不要使用自己的加密方式,也不要依赖数据编码或数据混淆技术
  • 启用开放平台层级的任何控制选项(如有)
  • 确认数据已加密
  • 保护所有系统免受恶意软件侵害

管理密钥和密码

  • 不要以明文方式存储密码,也不要将密码嵌入代码中
  • 不要使用供应商提供的系统密码默认值
  • 使用密钥管理系统(如有)
  • 设立用于维护密钥(分配、撤销、轮换、删除)的系统
  • 使用双重身份验证(如有)
  • 为用户提供一个双重验证选项

使用访问控制选项和账户管理

  • 使用不同的账户和凭据分离身份和功能
  • 设立用于维护账户(分配、撤销、审核访问权限和其他权限、移除)的系统

应用更新和补丁

  • 设立用于更新系统代码和环境(包括服务器、虚拟机 (VM)、发行版、库、包以及杀毒软件/程序)的系统
  • 设立用于维护和修补生产用系统的系统,包括
    • 核心库
    • 网络服务
    • 外向服务

监控和记录

  • 设立特定系统,用来记录对用户数据的访问并追踪用户数据的发送和存储位置
  • 监控用户数据的传输情况以及可发出用户数据的系统关键点(例如第三方、公共端点)

应用程序安全和保护 API

  • 熟悉基本的应用安全实践,包括
    • 评估权限和数据需求(根据使用目的调整数据访问权限)
    • 测试 API 和端点,查看是否存在数据泄露问题
    • 测试与第三方之间的传输,查看是否存在数据泄露问题
    • 部署前扫描应用和代码,查看是否存在常见的安全漏洞
  • 熟悉基本的编码实践,解决根本的安全问题
  • 定期测试安全系统和流程