腾讯Python安全编码实践与指南

"Tencent-Python安全指南是一个面向开发者的代码安全手册，旨在通过DevSecOps的理念推广安全编码实践，防止API级别的风险。该指南强调了加密算法的选择、日志管理、口令安全、Python版本选择、第三方包安全以及配置信息处理等方面的重要规则。 ## 代码实现 ### 加密算法 #### 安全对称加密 必须避免使用DES和3DES，这些算法已不再安全，推荐使用AES作为对称加密算法。 ### 程序日志 #### 日志记录 - 对重要操作记录日志，并保持至少6个月的记录，但应避免直接记录未经验证的用户输入，以防记录注入攻击。同时，不应在日志中保存敏感信息，如密码、密钥等。 #### 口令管理 - 禁止空口令、弱口令和已泄露口令。 - 口令强度要求包括：长度大于14位，包含大小写字母、数字和特殊字符，不使用默认初始密码，不与最近6次密码相同，也不得在其他系统中复用。 - 存储口令时，禁止明文存储，禁用DES和3DES等弱加密算法，采用不可逆算法和随机salt加密。 - 不得传递明文口令，也不应在不安全信道中传输。 ### 配置&环境 #### Python版本 建议使用Python3.6及以上版本，因为Python2已停止维护，可能存在未修复的漏洞。 #### 第三方包安全 禁止使用已知不安全的组件，以减少引入潜在风险。 #### 配置信息安全 - 密钥存储应安全，对于敏感数据，可以使用非对称算法协商加密密钥。 - 禁止在源码中硬编码敏感信息，如AK/SK、IP、数据库凭证等，应使用配置系统或KMS来管理。 ## 后台类 这部分未给出具体细节，可能包含了针对后台服务的特定安全措施，如数据库访问、权限控制、服务安全配置等。 总结来说，此指南旨在帮助开发者构建更安全的Python应用，通过遵循最佳实践，减少安全漏洞，保护用户数据和系统安全。"