转载自:
http://www.ik3cloud.com/Templates/SecondaryDevProtocol.html
一、关于部署金蝶云二开产品的客户声明
致:金蝶软件(中国)有限公司
鉴于我公司因业务需要,拟基于金蝶云进行功能扩展或修订(以下简称“二次开发产品”),并部署至金蝶云租赁产品上使用。因金蝶云系多企业租户同时使用,为防止二次开发产品存在缺陷(BUG)及安全漏洞,保障其他租户的数据安全,我公司特作如下声明与保证:
1.我公司同意遵守贵公司为保障金蝶云产品运维与数据安全等所制定的制度流程。
2.我公司将对二次开发产品进行全面测试,尽最大努力保证产品的安全及不存在缺陷(BUG)。我公司确认贵公司有权对二次开发产品进行安全审核,通过审核后方可予以部署。如贵公司发现产品存在缺陷或安全漏洞,我公司承诺予以整改。
3.我公司确认受现有技术限制,贵公司不能确保可发现所有缺陷及安全漏洞。二次开发产品部署上线后,如在使用过程中被发现有危及第三方的安全隐患或者影响金蝶云运行的缺陷(BUG)或安全漏洞,贵公司可在通过正式邮件或系统消息等方式通知我公司后,立即终止二次开发产品的运行,并予以下线;对因此所造成的一切影响,由我公司承担相关责任,与贵公司无关。
4.本声明系原金蝶云租赁合同的组成部分,与原合同具有同等的法律效力。
二、关于金蝶云的二次开发(第三方)产品开发部署的客户须知
尊敬的金蝶云二次开发客户:
为了您及金蝶云的整体安全,并避免因金蝶云部署要求了解不足而导致时间与人力成本的浪费,我们针对部署与开发的常见问题特作如下简要说明:
1.目前部署环境为Windows Server 2012 R2(64位) + SQLServer 2014(64位)(随着产品更新会有升级);外部访问仅开放http/https 80/443端口;所部署产品须能够在该环境上顺畅运行,支持云端部署。
2.所部署产品应采用BOS协同开发环境进行二次开发、.net或java等主流语言进行开发,其中选用的第三方独立产品(如tomcat等)应选择主流版本并安装最新补丁,满足互联网化产品的性能要求,并对所部署产品进行全面测试,尽最大努力保证产品的安全及不存在缺陷(BUG)。
3.金蝶云提供有标准的WEB API和WEB Service接口,不提供对金蝶云数据库的直连操作;禁止使用数据库触发器。
4.服务接口Kingdee.BOS.ServiceFacade.ServicesStub.Metadata.SQLScriptService下的方法仅供BOS集成平台使用,禁止客户二开调用。客户二开禁止自定义可用于在客户端直接执行SQL语句的服务接口,否则极易遭到非法SQL注入攻击从而造成数据丢失、数据库损坏等灾难性事故,且将被安全检测设施拦截而导致不能运行。
5.金蝶云产品的WEB API和WEB Service接口功能说明、参数说明、调用方法、代码示例等,查询的方法如下图:用系统管理员登录,进入系统菜单(路径:基础管理->公共设置->动态服务定义),进入相应的功能进行查询。
6.产品部署(含升级更新)前须签署客户声明及进行安全测试,大致流程为:“签署客户声明--安全测试(约为2周)--安全加固--重新安全测试(直至通过)”,请预留好相应时间;其中安全测试由金蝶免费提供,但若金蝶内部测试认为安全仍不可控,将引入外部专门的安全测试机构再次进行安全测试,时间约为4周,且该费用需要由客户自行承担。
推荐阅读