Software Section

1.涉及应用/框架必须使用最新版，禁止使用带有安全问题的老版本（包括但不限于Struts2低版本、Discuz低版本、openssl低版本）

2.双方所涉及应用在发布或更新前，避免出现如下问题：

2.1 SQL注入漏洞

2.2 业务逻辑权限漏洞

2.2.1 业务水平越权

2.2.2 业务垂直越权

2.2.3 逻辑设计缺陷

2.3 敏感信息泄露漏洞

2.4 管理配置类漏洞

2.4.1 安全配置错误（操作系统、数据库、中间件、WEB容器、框架等）

2.5 登录验证及管理后台类漏洞

2.5.1 失效的身份认证与会话管理

2.5.2 弱口令

2.6 上传及系统命令执行类漏洞

2.6.1 恶意文件上传

2.6.2 操作系统命令执行

2.6.3 恶意代码上传

2.7 未经验证的重定向与转发

2.8 XSS（跨站脚本攻击）

2.9 CSRF（跨站请求伪造）

2.10 SSRF（服务端请求伪造）

 

Sever Section

1. 双方应用服务器对外只允许开放443端口或者FTP服务；

2. 第三方厂商涉及API或服务须增加白名单访问限制（ACL），仅限对JD开放；

3. 双方服务器SSH服务须使用证书登录，遵循权限最小化原则，只对必要人员开放SSH证书登录认证信息；

4. 涉及中间件、框架、应用等出现0day或通用型漏洞时，双方须及时修复；双方服务器禁止开放U盘权限，有权限及申请权限时的人员要有对应记录;