Heroku 資安處理

Heroku 是一個平台即服務(PaaS)， 於 2010 年被 Salesforce 併購

SSL/TLS 加密

Heroku 提供的 SSL/TLS 加密，確保資料在傳輸過程中是加密的，減少中間人攻擊的風險。

內建防火牆

Heroku 提供內建的防火牆功能，可以限制訪問來源的 IP 範圍，減少不必要的網絡流量。

DDoS

Heroku 基礎設施提供 DDoS 緩解技術，包括 TCP Syn cookies 和連接速率限制，此外還維護多個骨幹連接和超出互聯網運營商提供頻寬的內部頻寬容量。Heroku與網路提供者密切合作，快速回應事件並在需要時啟用進階 DDoS 緩解控制。

環境變數管理

使用 Heroku 的環境變數功能，避免將敏感資訊（例如密碼、金鑰）硬編碼在應用程式中，以防止洩漏。

日誌監控

監控 Heroku 的應用程式日誌，追蹤潛在的安全事件，例如異常登入嘗試、錯誤請求等。

漏洞掃描

定期使用漏洞掃描工具對應用程式進行檢查，及時發現潛在的安全風險。

Django 資安處理

CSRF 保護

啟用 Django 的 CSRF 保護，防止跨站請求偽造攻擊，確保只有合法的用戶能夠提交表單。

安全的密碼存儲

使用 Django 內建的密碼哈希機制，確保用戶密碼以安全的方式存儲在資料庫中。

適當的權限管理

使用 Django 的權限系統，確保每個用戶只能訪問他們需要的資源，減少濫用權限的風險。