安全

最后更新：2026 年 5 月 27 日

传输安全

本网站全部流量仅通过 HTTPS 提供，并启用了 HSTS（max-age=31536000; includeSubDomains; preload）。HTTP 请求会通过 301 永久重定向到 HTTPS。

应用安全

• 内容安全策略（基于每请求 nonce 的 strict-dynamic）限制脚本与样式来源，禁止内联事件处理器，关闭高风险指令如 object-src。
• CSRF 防护：所有状态变更端点使用会话绑定的 token，并以常数时间比较。
• 输入校验：每个表单字段都做服务端类型与长度校验；上传文件按 magic bytes 进行 MIME 校验并剥离 EXIF 元数据。
• 限流：登录、公开表单提交与搜索端点限流，缓解暴力破解与滥用。
• 会话安全：HttpOnly + SameSite=Lax Cookie、滚动过期，使用 64+ 字节密钥签名，并有文档化的轮转流程。
• 特权账户 MFA：管理控制台启用 TOTP，密钥使用 AES-256-GCM 加密存储。

运维安全

• 数据库每日备份，并通过定期演练验证完整性。
• 服务器端审计日志记录管理员操作与安全相关事件，按月归档并按策略保留。
• 运维端点（/healthz、/readyz、/metrics、/csp-report）限制在内网与显式 IP 白名单内访问。

漏洞报告

如果您认为发现了安全漏洞，请将复现步骤发送至 support@trendsemi.com。我们承诺在 3 个工作日内确认收到，并持续告知修复进度。对于在 服务条款 边界内开展的善意研究，我们不会追究法律责任。