Meta 應用程式開發

開發人員資料安全最佳作法

如果您以開發人員身分使用平台,基於資料的敏感度,您必須負責以符合或超越業界標準的方式保護平台資料。以下是一些關鍵原則和業界最佳作法,開發人員在決定平台資料的安全措施時,可能會發現這些原則和最佳作法有所幫助。這些最佳作法僅供參考,無法保證您已履行遵守 Meta《開放平台使用條款》的義務,因其並未(也無法)涵蓋所有可能的情況。您是否符合或超越業界標準,將取決於您所存取和/或處理之平台資料的敏感度以及您獨特的技術情況。

原則最佳作法

保護通訊(傳輸中的資料)的安全

  • 使用可靠的憑證授權機構(CA)
  • 務必正確配置憑證
  • 盡可能使用最新版傳輸層安全性(TLS)
  • 強制加密所有網路連線
  • 測試以驗證網路連線確實沒有意外地傳送資料
  • 驗證 HTTP 標頭中的中繼資料沒有包含私人資訊

保護待用資料的安全

  • 使用標準加密;不要自己動手或是依賴資料編碼或資料混淆
  • 如果可以,請啟用任何平台層級控制項
  • 驗證資料是否已加密
  • 保護所有系統不受惡意軟體侵害

管理密鑰和密碼

  • 不要以明確的方式保存密碼或將其內嵌於程式碼
  • 不要使用供應商提供的預設系統密碼
  • 如果可以,請使用密鑰管理系統
  • 設有一套系統以維護密鑰(指派、撤銷、輪替、刪除)
  • 如果可以,請使用雙重驗證
  • 提供用戶雙因子選項

使用存取權限控制項和帳號管理

  • 使用不同帳號和憑證來分隔角色和功能
  • 設有一套系統以維護帳號(指派、撤銷、審查存取權限、移除)

套用更新和修補程式

  • 設有一套系統以確保系統程式碼和環境保持在最新狀態,包括伺服器、虛擬機器(VM)、發佈服務、資料庫、套件和防毒軟體/程式
  • 設有一套系統以維護和修補生產面向型系統,包括
    • 核心資料庫
    • 網路服務
    • 外部面向型服務

監控和記錄

  • 設有一套系統以記錄對用戶資料的存取情形,以及追蹤用戶資料的傳送和儲存位置
  • 監控用戶資料移轉情形,以及能夠將用戶資料傳送到系統外的關鍵位置(例如,第三方、公開端點)

應用程式安全和保護 API 的安全

  • 熟悉基本應用程式安全作法,包括
    • 評估權限和資料需求(資料存取權限與使用目的保持一致)
    • 測試 API 和端點是否發生資料外洩
    • 測試與第三方之間的傳輸是否發生資料外洩
    • 部署前先掃描應用程式和程式碼,以找出常見的安全漏洞
  • 熟悉基本編碼作法,以解決基本安全問題
  • 定期測試安全系統和程序