App 上架安全评估报告填写指南

1. 基本信息

• App 名称：填写你的应用程序名称。
• 版本号：填写当前发布的版本号。
• 开发公司：填写开发公司的全称。
• 联系方式：填写开发公司的联系邮箱或电话。

2. 安全合规性

• 隐私政策：确认是否有隐私政策，并提供链接或附件。
• 用户协议：确认是否有用户协议，并提供链接或附件。
• 数据保护：描述如何保护用户数据，包括数据加密、传输安全等措施。
• 权限管理：列出所有需要的权限，并说明每个权限的用途。

3. 技术安全措施

• 代码审计：描述是否进行了代码审计，以及审计的结果。
• 漏洞扫描：描述是否进行了漏洞扫描，以及扫描的结果。
• 安全测试：描述是否进行了安全测试，包括渗透测试、压力测试等。
• 第三方库安全：列出所有使用的第三方库，并确认其安全性。

4. 功能安全

• 登录认证：描述登录认证机制，包括密码强度要求、多因素认证等。
• 会话管理：描述会话管理机制，包括会话超时、会话固定防护等。
• 输入验证：描述输入验证机制，包括防止 SQL 注入、XSS 攻击等。
• 错误处理：描述错误处理机制，包括异常捕获、日志记录等。

5. 数据安全

• 数据加密：描述数据存储和传输的加密机制。
• 数据备份：描述数据备份机制，包括备份频率、恢复策略等。
• 数据访问控制：描述数据访问控制机制，包括权限管理、访问日志等。

6. 应急响应

• 应急计划：描述应急响应计划，包括安全事件的报告流程、处理措施等。
• 安全培训：描述开发团队的安全培训情况，包括培训内容、频率等。

7. 其他

• 自定义内容：根据具体情况，补充其他需要说明的安全措施或内容。

填写示例

评估方法

自评估

安全管理负责人

由技术经理负责信息审核人员由运营经理

用户真实身份核验及注册信息留存措施

所有用户均必须使用手机号码进行账号注册，确保了用户身份的真实性。系统会记录用户注册事件中的手机号码、IP、mac地址、端口、设备ID、时间戳等信息。 注册信息包括用户的昵称、性别、头像，这些信息会在数据库永久留存。

对用户账号、操作时间、操作类型、网络源地址和目标地址、网络源端口、客户端硬件特征等日志信息以及用户发布信息记录的留存措施

app内用户发帖必须登录，并且会记录用户的发帖时间、发帖内容。用户评论和发布的信息永久保存数据库，后台可以对用户发布的不合规信息进行手动屏蔽，手动屏蔽仅仅是用户前端不可见记录仍然保留在数据库中。系统会永久记录用户订单、发帖评论的业务事件及时间，用户的web网络访问日志会留存半年以上。

对用户账号和通讯群组名称、昵称、简介、备注、标识，信息发布、转发、评论和通讯群组等服务功能中违法有害信息的防范处置和有关记录保存措施

按app相关功能实际情况填写，如果不符合要求后面审核的时候应该会给你们提出整改意见，到时候把相关的功能开发出来再提审。

个人信息保护以及防范违法有害信息传播扩展、社会动员功能失控风险的技术措施

针对个人信息保护，用户只能查看他人的头像及用户昵称，不能查看其它用户的性别、生日、手机号等个人信息。 针对有害信息和社会动员功能失控风险，发帖和评论如果包含敏感词内容会被系统替换成*号进行屏蔽；发布成功后，如果发现还有违规内容，普通用户可以进行举报，后台管理员可以对内容进行屏蔽并留存。管理员还可以对违规用户进行禁言，限制违规用户发布内容及评论。严重违规的用户，可以直接封号处理。

是否建立投诉举报机制

是

投诉举报机制的途径

其它

投诉举报机制的描述

经过app内置的反馈入口进行举报和反馈

建立为监管部门和执法部门依法履职提供技术、数据支持和协助的工作机制的情况

后台管理系统中提供了网警查询资料管理功能，相关部门在必要时可直接登录帐号检查相关问题。如有需要，我们将积极响应并配合相关部门工作。

示例报告

# App 上架安全评估报告

## 基本信息
- **App 名称**：ZeemaCo
- **版本号**：1.0.0
- **开发公司**：Zeema Co., Ltd.
- **联系方式**：support@zeemaco.com

## 安全合规性
- **隐私政策**：[隐私政策链接](https://www.zeemaco.com/privacy)
- **用户协议**：[用户协议链接](https://www.zeemaco.com/terms)
- **数据保护**：我们使用 HTTPS 协议传输数据，并对敏感数据进行加密存储。
- **权限管理**：我们需要以下权限：读取存储、访问网络状态、访问相机、访问位置。

## 技术安全措施
- **代码审计**：已进行代码审计，未发现高危漏洞。
- **漏洞扫描**：已进行漏洞扫描，未发现高危漏洞。
- **安全测试**：已进行渗透测试和压力测试，未发现重大问题。
- **第三方库安全**：使用了以下第三方库：jQuery, Bootstrap, Axios。已确认这些库的安全性。

## 功能安全
- **登录认证**：支持用户名和密码登录，密码强度要求至少8位，包含数字和字母。
- **会话管理**：会话超时时间为30分钟，使用安全的会话管理机制。
- **输入验证**：对所有输入进行验证，防止 SQL 注入和 XSS 攻击。
- **错误处理**：捕获所有异常，并记录详细的日志。

## 数据安全
- **数据加密**：使用 AES-256 加密算法存储敏感数据。
- **数据备份**：每天自动备份数据，备份文件存储在安全的服务器上。
- **数据访问控制**：严格控制数据访问权限，记录所有访问日志。

## 应急响应
- **应急计划**：安全事件发生后，立即报告给安全团队，并在24小时内启动应急响应流程。
- **安全培训**：开发团队每年进行一次安全培训，培训内容包括最新的安全技术和最佳实践。

## 其他
- **自定义内容**：无

注意事项

• 详细描述：每一部分都需要详细描述，确保评估人员能够全面了解你的安全措施。
• 证据支持：如果有相关的报告或证书，可以作为附件一并提交。
• 及时更新：定期更新安全评估报告，确保内容的时效性和准确性。

希望以上指南对你填写 App 上架安全评估报告有所帮助。如果有任何具体问题，欢迎继续提问。