# 《飞书独立软件服务商运营管理规范》

更新日期： 2025年3月5日

生效日期： 2025年3月5日
根据相关业务发展和需求，飞书保留提前 7 天以公告通知方式修改本管理规范的权利
## 一、总则

为构建一个安全、有序且规范的飞书开放平台生态，切实保障平台开发者、用户以及平台自身的合法权益，依据国家相关法律法规、《[飞书用户服务条款](https://www.feishu.cn/terms)》、《[飞书隐私政策](https://www.feishu.cn/privacy)》、《[稳定性和安全规范](https://open.larkoffice.com/document/uMzNwEjLzcDMx4yM3ATM/uETMxEjLxETMx4SMxETM)》、《飞书合作伙伴框架协议》、《[飞书独立软件服务商协议](https://open.larkoffice.com/document/no_class/become-an-isv/feishu-independent-software-developer-agreement)》、《飞书独立软件服务商运营管理规范》等相关规定，制定《飞书独立软件服务商安全管理运营规范》（以下简称“本规范”），本规范作为前述协议文件的补充，对于本规范中未涉及的内容，以前述协议文件约定为准特制定本管理规范。本规范适用于所有接入开放平台的开发者、应用程序以及相关服务。

## 二、定义

- **飞书应用目录：** 飞书旗下的[一站式企业服务平台](https://app.feishu.cn/)，为企业提供项目管理、市场营销、办公管理、财务管理、人力资源管理等服务
- **服务商：** 指通过飞书应用目录发布并在线销售服务产品的组织或个人
- **用户：** 使用飞书任意产品功能或服务的注册用户
- **应用：** 服务商在飞书开放平台注册并生产的软件或服务
- **应用下架：** 应用下架后，在飞书应用目录不可被搜索到，未安装的用户不可见，已经在使用的用户依然可以继续使用
- **应用下线：** 应用下线后，在飞书应用目录不可被搜索到，所有用户都无法使用
- **服务商清退：** 将服务商名下所有应用下线，停止其所有应用的API调用（如有），并将服务商身份永久冻结（服务商登录及操作后台权限被收回），届时应用将无法在飞书应用目录列表展现且无法成功订购，已订购该应用且仍在有效期内的用户将无法继续使用应用
- **限制营销权益：** 限制应用参加官方活动或使用营销工具，限制范围包括但不限于飞书官网、飞书开放平台、飞书应用目录、飞书管理后台、飞书推送消息等

## 三、安全责任

#### 平台安全责任

- 负责飞书开放平台整体安全性的保障，保障平台自身及对外提供的服务和能力的安全和稳定，包括但不限于openAPI、开放组件、开发工具、开发SDK、开发社区等；
- 负责对第三方上架应用提供安全风险管控指导意见及要求，应用上架前进行安全审查；
- 负责建立和运营三方应用的安全风险检查机制，针对第三方上架应用进行安全巡检，并推动应用开发商进行风险治理；
- 负责制定和更新相关安全管理规范，包括但不限于《飞书独立软件服务商安全管理运营规范》、《稳定性与安全规范》等，推动规范的落地运营；

#### 服务商安全责任

- 遵循飞书开放平台相关安全管理规范，在相关规范的指导下进行应用的开发和维护，并签署安全承诺书
- 保障应用部署环境的安全可控，采用必要的安全防护措施防止网络和应用攻击
- 依法依规收集、存储、使用和共享用户数据，严格遵循最小必要原则，获得用户明确授权，保障用户数据安全，不得泄露、篡改或滥用用户数据
- 合理规范的调用飞书开放平台开放的API，避免绕过安全限制获取非授权数据
- 定期主动开展安全自查，接受并配合飞书的安全管控和审查，及时处理并修复应用存在的安全风险和漏洞

## 四、应用安全管理

#### 应用开发和部署

应用软件开发和部署过程中，需要遵循如下安全要求：

安全类别 | 安全项 | 安全要求
---|---|---
安全部署 | 安全环境 | 应用采用云部署时，推荐优先使用火山引擎，并按照云平台的最佳安全实践，进行安全配置
安全环境 | 应用应采用独立部署模式，不得与其他应用混用主机和数据库
安全环境 | 特定条件下，应用需按照飞书开放平台安全管理要求，部署或迁移至指定安全环境中
安全防护 | 安全防护 | 应用需部署主机、网络和应用层的安全防护能力，如：反入侵、Waf 应用防火墙、抗 DDos 产品
安全编码与配置 - 访问控制与授权 | 访问控制与授权 | 访问权限控制不应只在客户端做限制，必须在服务端代码进一步确认当前用户与当前操作资源的访问权限
访问控制与授权 | 结合业务场景，对于系统各种 ID，如用户 ID、资源 ID 等，应做到不可遍历、不可暴力枚举。例如使用 UUID 的方式
访问控制与授权 | 应用需按照权限最小化原则来实施访问控制
安全编码与配置 - 输入与输出 | 输入与输出 | 需对 GET 请求中的敏感数据进行加密处理
输入与输出 | 需对用户输入进行类型、合法性检查，例如对 Int,String,Double 等类型进行检查，对邮箱,号码等合法性进行检查
输入与输出 | 需对所使用的前端或后端框架对页面输出做整体编码或转义处理，以规避页面中的 XSS 漏洞风险(小程序不适用此项)
输入与输出 | 需在关键 HTTP 请求中插入 Token 防止 Csrf 攻击
输入与输出 | SQL 语句需使用预编译语句，以避免字符串拼接 SQL 导致注入攻击
输入与输出 | 需对所使用的前端或后端框架对页面输出做整体编码或转义处理，以规避页面中的 XSS 漏洞风险(小程序不适用此项)
日志与审计 | 日志与审计 | 应用需支持配置审计员角色，实现操作员、日志审核员、管理员的职责分离
日志与审计 | 需对所有用户所有关键操作均有操作审计日志记录、且审计日志区分于应用运行日志
日志与审计 | 业务日志不应包含用户的敏感信息，如 Cookie、SessionID、手机号、验证码等，需做脱敏或规避处理
会话管理 | 会话管理 | 服务器如支持跨域请求，需对跨域的来源做域名限制
会话管理 | 禁止使用 HTTP 或 WS 协议进行服务端交互，需使用 HTTPS 或 WSS 安全信道
会话管理 | 需遵循最小化原则，对 Cookie 的 Domain 属性与 Path 属性做合理设置。例如 Domain 属性仅设置为当前 Domain，未设置为*.domain
会话管理 | 原则上需对所有 Cookie 应使用 Secure 与 HttpOnly 标记（部分框架为实现 Csrf 添加的 Cookie 除外）
会话管理 | 会话超期后，需清除服务器发过来的资源缓存（如使用 Session Cookie，退出后清理持久化 Cookie 等)
会话管理 | 需根据产品功能并结合最小化原则，为每个会话设置合理的过期超时时间
会话管理 | 退出登陆/页面关闭 等操作后，需销毁相应活跃的会话
会话管理 | 用户 Session ID 等 Session 标识需绑定设备信息，如 IP、MAC、硬件标识等
密码学安全要求 | 密码学安全要求 | 不应使用 MD5、DES、SHA1 等低强度安全算法<br>对称加密算法应采用加密强度不低于 AES - 256 的算法及密钥<br>非对称加密算法应采用加密强度不低于 RSA - 2048 的算法及密钥<br>哈希算法应采用加密强度不低于 SHA256
配置文件管理 | 配置文件管理 | 代码中不应存在编码账号，密码，秘钥等敏感信息
数据存储 | 数据存储 | 文件、图片、视频等资源如使用了对象存储，需根据存储对象的敏感程度，配置访问范围和授权策略
数据存储 | 生产数据库(Mysql、Redis 等)禁止公网 IP 直接连接和访问
数据存储 | 代码严禁公开上传到 Github 等第三方开放平台
安全配置 | 安全配置 | 不得将 135、445、3306、6379、27017 等高风险服务端口开放到公网上，服务器只对外开放 80，443 端口
安全配置 | 如未使用公钥登陆生产服务器，则生产服务器需要设置防火墙访问规则，只允许特定的设备(MAC)或 IP 登录到服务器
大模型安全 - 安全算法 | 安全算法 | 应用使用的模型算法必须在国家平台 https://beian.cac.gov.cn/#/index 完成备案
大模型安全 - 模型安全 | 模型安全 | 应用需保障模型的输入输出安全，应具备外部模型攻击的识别和防护能力
模型安全 | 应用需对模型的输出进行内容安全检查，避免涉政、涉黄等违规内容输出
大模型安全 - 模型训练 | 模型训练 | 模型训练的数据采集需符合相关法律法规要求，不得侵犯个人隐私和触发商业违法行为
内容安全 | 内容安全 | 未经用户授权，ISV 不得替代用户发表内容
内容安全 | 应采取措施过滤违法内容，确保用户内容符合法律规定
内容安全 | 应建立应对内容安全投诉的流程机制
内容安全 | 应严格管控，确保展示内容合规性，防止出现违规内容
内容安全 | 应建立内容安全巡查机制，定期开展内容安全自查，避免违法内容的产生和传播

#### 应用发布审核

服务商在飞书应用目录上架应用时，需提交安全自检清单，接受平台的上架发布安全审核，提供的信息包括：
- 应用基本信息：开发语言、开发框架、数据库类型及相关版本信息
- 部署环境信息：包括部署架构图、公有云品牌、云资产类型清单、部署域名及域名备案信息
- 安全防护能力：WAF、HIDS、DDOS等安全产品接入情况
- 安全测试及认证：安全测试报告、三方安全认证资质等
- 数据安全保护措施：加密、审计、脱敏等
- 大模型信息：使用的大模型品牌、备案情况等
- 安全组织信息：紧急安全联系人、安全应急响应预案等
- 签署安全规范和安全承诺协议

#### 应用审计监测

- 平台会对飞书应用目录在架应用进行安全审计和监测，包括敏感API异常调用行为、应用安全漏洞情况、应用关键安全配置项等
- 鼓励用户对应用的安全问题进行举报，平台设立专门的举报处理渠道，对举报信息进行及时处理和反馈，形成良好的用户参与安全监督的氛围
- 服务商需要建设应用异常感知能力，处理应用攻击行为和平台安全反馈，自行发现的安全风险要进行主动上报和通告

## 五、服务商安全运营

#### 风险运营

安全风险包括但不限于应用软件安全漏洞、安全防护能力缺失、安全配置错误等可能引发安全事件的风险因素
- 风险通知：平台侧将通过专属渠道推送风险治理通知，确保服务商及时获取风险内容
- 风险处理：服务商接收到风险通知后，需要在规定的时间内完成风险治理动作，反馈治理结果，并自查同类风险
- 风险验证：平台对风险治理结果进行验证，验证后确认风险关闭
- 风险延期：如果服务商无法在规定时间内完成风险治理，需要申请进行风险延期，同一风险只能延期一次，延期时间=风险规定时间
- 风险超期：如果延期到期后仍未能完成风险治理，则计入风险超期，风险超期会按违规处理，具体处理方法参照违规处理章节

风险等级 | 风险描述 | 治理时间要求（单位：自然日） | 延期时间（单位：自然日）
---|---|---|---
P0 | 应用存在严重/高危漏洞未修复，存在被外部攻击风险 | 7 | 7
应用密钥泄露，存在被攻击者接管应用权限的风险 | 7 | 7
应用被黑灰产利用引流、欺诈、洗钱等 | 7 | 7
应用存在合规问题，可能引发舆情风险 | 7 | 7
应用服务端开放高危端口且存在弱口令 | 7 | 7
应用存在客户敏感信息泄露风险 | 7 | 7
P1 | 应用未部署安全防护能力（waf、ddos、反入侵等） | 14 | 14
应用域名未使用 HTTPS 协议 | 14 | 14
应用存在中危安全漏洞 | 14 | 14
应用存在冗余高敏权限 | 14 | 14
未在规定时间内提交安全自检报告 | 14 | 14
应用未配置服务端调用 IP 白名单 | 14 | 14
P2 | 应用存在低危安全漏洞 | 28 | 28
应用长期活跃度过低，大量权限冗余 | 28 | 28

#### 安全事件

安全事件包括但不限于数据泄露事件、大规模网络攻击、应用系统故障导致服务中断等可能对平台安全运营和用户权益造成严重影响的突发事件。
- 事件预防：服务商应定期在内部开展安全培训与教育，预防安全事件发生
- 事件处置：安全事件发生时，服务商需立即采取有效措施，控制事件影响，并及时与相关方沟通通报
- 事件调查：安全事件处置完成后，服务商需与平台一起组织专业人员对事件进行调查，确定事件影响和根本原因
- 事件定责：事件原因调查清楚后，根据本规范安全责任确定事件责任主体
- 事件处罚：如责任主体为服务商，根据本规范安全违规处理标准进行安全违规处罚

## 六、违规及处理办法

本章节整体参照《飞书独立软件服务商运营管理规范》中违规内容及处理办法执行，在此基础上补充安全违规条款如下：

违规类型 | 违规内容 | 处理方式
---|---|---
基本底线 | 违反《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等安全法律法规，且未及时整改，导致重大安全影响 | 服务商清退，扣除保证金20000元
未履行服务商安全责任，导致出现重大安全事件，给平台或客户造成经济、声誉影响 | 无明确补充处理方式（原文未提及）
平台合作 | 未在规定时间内完成风险治理 | 第一次发生：应用下架15天，扣除保证金2000元<br>第二次发生：应用下架30天，扣除保证金5000元<br>第三次发生：应用下线，扣除保证金20000元
未在有效期内提交安全自检报告
无故拒不配合平台安全检查
安全自检清单中提供虚假信息，如伪造安全报告、资质认证等 | 下架整改，重新提交平台审核，扣除保证金5000元
产品品质 | 未按本规范要求进行安全开发和部署，应用存在漏洞被外部上报或引起客户安全投诉 | 第一次发生：应用下架15天，扣除保证金2000元<br>第二次发生：应用下架30天，扣除保证金5000元<br>第三次发生：应用下线，扣除保证金20000元
未按本规范要求进行应用安全防护能力部署或应用安全配置，引发外部攻击导致服务中断时间超过8小时或客户安全投诉24小时未处理