开放平台

第八章开发者运营的安全管理保障

调整前

调整后

8.1开发管理
使用风险提示：应用应在合适的界面提示用户使用应用时的安全风险及学习安全指南的建议，至少应包括：不开启云盾的风险、口令被盗的风险、使用默认账号的风险、使用共享账号的风险。
终端风险提示：应用应在合适的界面提示用户终端安全方面的风险及学习安全指南的建议，至少应包括：病毒感染的风险、不及时安装补丁的风险、使用访客账号的风险、使用默认账号的风险、不进行口令保护的风险、不设置屏幕保护的风险。

删除

8.3运维保障-风险处置

a) 开发者应及时、有效地配合阿里巴巴日常的服务排查，不应做出屏蔽淘宝IP等恶意行为；

b) 由御城河产出的各类安全风险，应在其规定的时间内完成处置，包括：高危风险的处置应在24小时内完成，中危风险的处置应在3天内完成，低危风险的处置应在7内完成。

8.2运维保障-风险运营

a) 开发者应及时、有效地配合阿里巴巴日常的服务排查，不应做出屏蔽淘宝IP等恶意行为。

b) 平台依据相应授权使用开发者在聚石塔上的安全监控数据进行安全认证、风险监测等安全运营工作。安全监控数据包括但不限于云安全中心（态势感知）的告警数据、WAF/DDOS接入和告警数据、数据库审计数据、安全组规则配置数据，ECS/RDS等资源的运行监控数据等。

c) 由御城河产出的各类安全漏洞、风险、事件，包括但不限于安全认证、渗透测试、安全扫描以及聚石塔安全数据的告警分析等，应在风险提示的规定时间内完成处置。