Рекомендации по безопасности для одобрения приложений

Вы сможете эффективнее пользоваться Slack вместе с привычными инструментами. Если вы предоставите соответствующие права приложениям и интеграциям, они смогут получать информацию из вашего рабочего пространства, чтобы помогать автоматизировать задачи и выполнять работу. 

Чтобы надежно защитить данные, важно понимать, как приложения работают со Slack. Так вы сможете задать политику для просмотра и одобрения интегрированных инструментов. 

1. Знакомство с приложениями для Slack

По умолчанию участники могут устанавливать любое приложение из Каталога приложений Slack или создавать внутренние интеграции с учетом потребностей компании. В зависимости от настроек безопасности владельцы рабочего пространства могут определять, кому разрешено устанавливать приложения, а также способы установки.

Вы можете использовать существующую службу, например Google Диск или Dropbox, или создать собственную. У нас есть несколько ресурсов, которые помогут устанавливать и создавать нужные вам приложения.

📒 Подробнее о приложениях и Каталоге приложений
⚙️ Добавление приложения в рабочее пространство
🛠 Настройка Slack с помощью внутренних интеграций


2. Изучение прав приложений

Все приложения в нашем Каталоге приложений имеют уникальный набор прав, который также называется набором разрешений. Он определяет, к какой информации имеет доступ то или иное приложение и как эта информация может использоваться. Обычно приложение запрашивает следующие права.

  • Публикация информации
  • Выполнение действий 
  • Доступ к информации 

Полный набор прав приложения отображается во время установки. Подробный список наборов разрешений — в нашей документации по API.

Совет. Разработчики некоторых приложений отправляют нам подробную информацию о процедурах обеспечения безопасности и соответствия стандартам. Если такая информация доступна, ее можно посмотреть на вкладке Безопасность и соответствие стандартам на странице приложения в Каталоге приложений.


3. Включение настроек одобрения приложений 

Владельцы рабочего пространства могут включить настройку Одобрить приложения и определять, кому в рабочем пространстве разрешено устанавливать приложения, а также одобрять конкретные приложения.

🎛 Управление установкой приложений

Владельцы рабочего пространства могут разрешать установку конкретных приложений. Для этого создаются списки одобренных приложений, а также приложений с ограниченным доступом. В Каталоге приложений участники смогут легко увидеть, какие приложения одобрены, ожидают одобрения или не разрешены в данном рабочем пространстве. 

👨‍✈️ Определение пользователей, которые могут управлять приложениями и интеграциями

По умолчанию управлять приложениями могут только владельцы рабочего пространства. Если настройка Одобрить приложения включена, владельцы могут разрешить выбранным участникам управлять одобренными приложениями и отвечать на запросы об установке.

Включение одобрения приложений

  1. На компьютере нажмите имя рабочего пространства в левом верхнем углу.
  2. Выберите в меню вариант Настройки и администрирование, затем нажмите Управление приложениями.
  3. Нажмите Настройки управления приложениями на левой боковой панели.
  4. Включите параметр Одобрить приложения.

Совет. Согласуйте сроки с командой и сообщите, сколько времени займет рассмотрение запросов на одобрение приложений.


4. Разработка политики одобрения

Участники могут запрашивать приложения или устанавливать их по мере необходимости. В любом случае вам нужно защитить рабочее пространство и разработать политику одобрения приложений вместе с ИТ-командой, а также командами по безопасности и работе с политиками.

Внимательно изучите внутренние протоколы по управлению данными, чтобы создать политику с учетом потребностей команды. Вот некоторые моменты, на которые нужно обратить внимание. 

Установка приложений

  • Важно ли это приложение для достижения бизнес-целей компании?
  • Есть ли другие приложения, которые команда уже использует для этих задач?
  • В течение какого времени это приложение будет нужно команде в рабочем пространстве?
  • Какая у этого приложения политика конфиденциальности?
  • Как часто приложение будет делать публикации в канале?
  • Есть ли дополнительные платежи или лицензии?

Создание внутренних интеграций

  • Кто будет поддерживать интеграцию?
  • Нужно ли использовать дополнительные сервера, базы данных или интеграции?
  • Используется ли в приложении проверка токенов?
  • Шифруются ли данные при хранении?
  • Используется ли протокол TLS в целях шифрования трафика?
  • Выполнялась ли оценка рисков безопасности приложений по списку OWASP Top 10?

Примечание. Несмотря на то что мы проверяем все приложения в Каталоге приложений, включая запрашиваемые права, Slack не продвигает и не сертифицирует эти приложения. Мы рекомендуем устанавливать только те инструменты, которым вы доверяете.

Подробнее о приложениях

API Slack включает все, что вам нужно для создания приложения, а также соответствующие дополнительные возможности. Посетите наш блог — там вы найдете еще больше информации о том, как ваша команда может эффективно работать с приложениями.