平台功能-應用程式安全保障設置


一、產品介紹

 應用程式透過使用者授權呼叫TOP提供的API可以取得和操作使用者、商品、訂單等數據,為了防止這些資料外洩和惡意篡改,TOP提供保障應用安全的一系列服務。這些服務包括:敏感操作保護、設定IP白名單、伺服器host在萬網、黑盒漏洞掃描、設定授權用戶數、API呼叫監控和用戶授權監控。根據這些服務收集到的數據建立應用的安全指數,統一衡量應用的安全狀況。

 

二、產品詳情

1、服務詳情

##2設定IP白名單 ##3伺服器host在萬網中國萬網為淘寶開放平台ISV用戶提供專屬客製化的雲端主機,與淘寶使用相同的機房環境及線路,與淘寶網的內網互聯,預設符合淘寶對主機的安全要求。將伺服器host在萬網,保障伺服器的安全性。 點此查看詳情4黑盒子漏洞掃描透過TOP主動監控,幫助ISV發現應用程式的缺陷,提升應用品質。 點此查看詳情##5開發者中心->應用程式頁面左側,如下圖:##6API呼叫監控根據應用程式採取的安全措施,決定應用程式呼叫API時存取的範圍不同。 系統監控無7 使用者授權監控對應用程式的授權使用者數突增突降進行監控系統監控無#

 

2、查看應用程式安全指數

#1、管理憑證頁面

點選「應用程式管理」- 「管理憑證」

T1lvK3XXdoXXaCwpjX.png

 

2、安全服務頁面

點選「安全中心「 - 」套用健康指數「

T14uW3XolpXXaCwpjX.png

##3、檢視應用程式安全服務

 

安全服務頁面

點選「安全中心「 - 」應用健康指標「

T1V2W3XhtnXXaCwpjX.png

 

#三、規則

應用安全等級計算公式如下:

T10VeAFhFaXXb1upjX.jpg

其中:

1.TAE目前只向店鋪模組應用開放。

2.IP白名單的設定在:開發者中心->安全中心-> IP白名單設定

3.使用使用者SDK是指:

    a.B/S應用程式需要在使用者使用的每個頁面(推薦是公共的頁頭)新增使用者SDK用於驗證使用者使用行為,不使用此用戶SDK的將被平台視為無用戶操作使用的應用。

用戶SDK如下:

<script type="text/javascript" src="http://a.tbcdn.cn/apps/isvportal/securesdk/securesdk.js" id="J_secure_sdk_script" data-appkey="xxxxxxx"></script>(其中xxxxxx換成自己的appkey即可)

#    b.C/S應用暫不影響。

4.安全漏洞請參閱:開發者中心->監控中心->缺陷清單


 2、授權使用者數與應用標籤關係

 序號 服務名稱 服務簡介詳情#入口
1敏感操作保護開放平台操作的保護,在查看或重設Secret,修改回呼URL,刪除應用時需二次驗證。 點此查看詳情

開發者中心->安全中心->敏感操作保護,如下圖:

#讓開發者設定伺服器的IP白名單。設定後,該AppKey只允許在IP白名單範圍內的伺服器IP過來呼叫API,非白名單IP無法呼叫API。例如,即使AppKey 和Secret 被盜,如果盜用者不是從您的伺服器IP發起的API呼叫請求,則會被TOP拒絕。

報錯資訊如下:

 

<code>11</code>
#<msg>Insufficient isv permissions</msg>
#11]
#<sub_code>isv.permission-ip-whitelist-limit</sub_code>
<sub_msg>
###The appkey 123456789 is only allowed to call from *.*. *.*, but your ip is #.#.#.#######</sub_msg>######</error_response>###

 

 

 

 

 

 

 

 #點此查看IP白名單清單

1、開發者中心->安全中心->IP白名單設置,如下圖:

2、開發者中心->應用程式頁面左側,如下圖:

開發者中心->應用程式頁面左側,如下圖:

開發者中心->監控中心->缺陷列表,如下圖:

設定授權使用者數量套用不同數量的使用者群體,對應的安全等級會不同。  

#應用標籤

在建立時預設規則

#

發布服務審核通過前

發布服務審核通過後

##淘寶客網站

只能自己使用

只能自己使用,不可選擇小部分和所有人使用

只能自己使用

#無線買家應用程式

小部分人使用

可選擇自己用和小部分人使用,不可選擇所有人使用

三個範圍都可以選擇

#買家應用程式

################小部分人使用##########

可選擇自己用和小部分人使用,不可選擇所有人使用

三個範圍都可選擇

線上訂購應用程式

#小部分人使用##########

可選擇自己用和小部分人使用,不可選擇所有人使用

三個範圍都可選擇

「商店模組應用

################################# #################小部分人使用##########

可選擇自己用和小部分人使用,不可選擇所有人使用

三個範圍都可選擇

#商家後台系統

#小部分人使用(5個人)

可選擇自己用和小部分人使用,不可選擇所有人使用

不可選擇所有人使用

#安全等級相關內容請參考見文件:

//open.taobao.com/doc/detail.htm?id=1002#s2

//open.taobao.com/doc/detail.htm?id=1002#s2

四、安全規範

 為了確保開放平台上應用的安全性,我們制定了詳細的應用安全規範,要求所有接入淘寶開放平台的第三方應用必須嚴格遵守。特定安全規範內容請參閱文件:

//open.taobao.com/doc/detail.htm?spm=a219a.7386797.0.0.bBwnPn&id=813

    FAQ
#關於此文件暫時還沒有FAQ
#######