jkaranja254/product-security-playbook-public

# 产品安全行动手册 ## 概述 本仓库为现代云系统提供了一份结构化的产品安全行动手册。 它展示了如何在架构、身份、交付流水线和客户交互中设计、实施和传达安全性。 重点在于如何在架构、身份、交付流水线和客户交互中设计、传达和执行安全策略。 其目标是展示安全性如何支撑产品可靠性、客户信任和运营规模。 ## 本仓库涵盖内容 - 安全架构与系统设计 - 身份与访问管理 (IAM) - 威胁建模与风险分析 - CI/CD 与交付流水线控制 - 软件供应链安全 - 面向客户的安全沟通 ## 仓库结构 ### [01-概览](01-overview/) 核心安全原则与运营模型 - [安全概览](01-overview/security-overview.md) - [责任共担模型](01-overview/shared-responsibility-model.md) ### [02-客户信任](02-customer-trust/) 面向客户的安全沟通 - [面向客户的安全概览](02-customer-trust/customer-security-overview.md) - [安全问卷](02-customer-trust/customer-security-questionnaire.md) ### [03-架构](03-architecture/) 系统设计与风险分析 - [IAM 架构](03-architecture/iam-architecture.md) - [威胁建模案例研究](03-architecture/threat-model-case-study.md) ### [04-DevSecOps](04-devsecops/) 交付与依赖中的安全 - [CI/CD 安全控制](04-devsecops/ci-cd-security-controls.md) - [供应链控制](04-devsecops/supply-chain-controls.md) ### [06-AI 安全](06-ai-security/) AI 安全设计与治理 - [AI 安全概览](06-ai-security/ai-security-overview.md) ## 示例架构  此示例展示了面向客户的安全信息如何在应用服务、数据层和集成之间进行结构化。 ## 阅读指南 - 从 **[01-概览](01-overview/)** 开始，了解背景和运营模型 - 查看 **[03-架构](03-architecture/)**，了解系统设计思路 - 探索 **[04-DevSecOps](04-devsecops/)**，了解实践控制措施 - 参考 **[02-客户信任](02-customer-trust/)**，获取外部沟通示例 ## 核心原则 - 安全应与业务目标保持一致 - 控制措施应切实可行且可执行 - 访问权限应受限且可观测 - 安全应集成到交付工作流中 - 沟通应清晰准确 ## 范围 本仓库侧重于架构、设计和沟通。 它不侧重于工具、漏洞扫描输出或特定于供应商的实现。 ## 说明 所有示例均为通用内容，不代表任何特定组织或系统。

标签：AI安全, API安全, Chat Copilot, CI/CD安全, DevSecOps, IAM, JSONLines, JSON输出, Llama, Playbook, SaaS安全, 上游代理, 产品安全, 人工智能安全, 企业安全, 共享责任模型, 合规性, 威胁建模, 安全交付, 安全合规, 安全工程, 安全手册, 安全架构, 安全治理, 客户信任, 文档安全, 系统设计, 结构化查询, 网络代理, 网络资产管理, 自动化安全, 身份与访问管理, 软件供应链安全, 远程方法调用, 防御加固, 防御策略, 零信任