这是面向早期 Appaloft Cloud 官网的公开草案,正式商用前应由法律顾问复核。
认证与会话
控制台使用 Better Auth 管理登录和会话。生产环境应启用安全 cookie、可信 origin、HTTPS 和共享 cookie domain。
凭据处理
部署 token、数据库 URL、SSH key 和第三方 secret 应只通过运行时 secret 注入,不写入仓库或公开文档。
部署隔离
Appaloft 会记录部署路径、健康检查和回滚状态;应用自身的运行时隔离取决于你选择的服务器和资源配置。
审计与可观测性
敏感操作应保留可审计事件、日志和状态,用于排障、回滚和安全调查。
报告安全问题
如果你发现漏洞,请通过 [email protected] 联系我们,并留出合理处理时间后再公开。