安全基线

连接密钥管理

• 使用 conn_ref 引用，不在 YAML/代码硬编码明文。
• 支持：
• env:KEY
• file:/path/to/secret.json

传输加密

• Redis/MySQL profile 支持 tls=true。
• API 建议通过反向代理启用 TLS。

最小权限

• 数据源账号按最小读权限配置。
• MySQL 仅授权必要表和列。

审计与追踪

• 保留模板版本、质量报告、发布记录。
• 对质量门禁阈值变更做审计记录。

生产前检查清单

1. 替换所有开发密钥。
2. 开启 TLS。
3. 运行敏感扫描。
4. 回归样本覆盖核心工况。