批准应用的安全性建议

当你将 Slack 与已使用的工具连接在一起时,Slack 功能最强大。 经过你的许可,应用和集成可以访问工作区的信息,帮助你自动执行任务并完成工作。

为了更好地保护你的数据,了解应用与 Slack 的协作方式非常重要。这样,你就可以确定用于审核和批准集成工具的政策。 

1.了解 Slack 的应用

默认情况下,成员可以从 Slack 应用目录中安装任何应用,也可以构建内部集成来适应公司的需求。根据你的安全首选项,工作区拥有者可以控制应用的安装方式以及安装者

无论你要使用现有服务(例如 Google DriveDropbox),还是构建自己的服务,我们都有一些资源,可以向你展示如何安装和创建你需要的应用。

📒了解应用和应用目录
⚙️将应用添加至你的工作区
🛠使用内部集成自定义 Slack


2.了解应用权限

我们的应用目录中的所有应用都具有唯一的一组权限,称为权限范围,它告诉你应用可以访问哪些信息以及如何使用这些信息。 通常,应用会请求许可以执行以下操作:

  • 发布信息
  • 执行操作 
  • 访问信息 

在安装应用时,会列出该应用的全部权限。 你可以在我们的 API 文档中找到权限的详细列表。

小窍门: 一些开发者向我们提交了有关其安全性和合规性实践的详细信息。如果已提供,你可以在应用目录中应用页面的安全性和合规性标签中看到该信息。


3.启用应用批准设置

工作区拥有者可以启用工作区的批准应用设置,以便控制安装方式和安装内容。

🎛控制可以安装哪些应用

工作区拥有者可以通过创建已批准和受限应用列表来精确控制可安装的应用。在应用目录中,成员将清楚地看到哪些应用已批准用于工作区,哪些应用需要批准,以及哪些应用不允许使用。

👨‍✈️决定可以管理应用和集成的人员

默认情况下,只有工作区拥有者可以管理应用。启用批准应用设置后,拥有者可以允许选定成员管理已批准的应用并回复应用安装请求。

开启应用批准

  1. 在桌面版中,单击侧栏中的工作区名称。
  2. 从菜单中选择工具和设置,然后单击管理应用
  3. 单击左侧栏中的应用管理设置
  4. 打开批准应用

小窍门:对于需要批准的应用,告知你的团队审核其应用请求将花费多长时间,从而设定团队的预期。


4.制定批准政策

成员是需要请求应用还是可以根据需要安装应用,请在 IT、安全和政策团队的帮助下制定应用批准政策,保护你的工作区。

仔细考虑围绕数据管理的内部协议,从而制定一个适合你的团队的政策。以下是需要包括在你的审核中的一些问题:

安装应用

  • 使用该应用是否有正当的业务理由?
  • 是否有其他用于此目的的应用?
  • 该应用需要在工作区中使用多长时间?
  • 应用的隐私政策是什么?
  • 该应用向频道中发布帖子的频率如何?
  • 是否还需其他费用或许可证?

构建内部集成

  • 谁将维护集成?
  • 是否需要其他服务器、数据库或集成?
  • 应用是否使用令牌验证?
  • 数据是否静态加密?
  • 是否使用 TLS 加密流量?
  • 是否已审查 OWASP 十大应用安全风险

注意: 尽管我们查看了应用目录中的所有应用,包括其已请求的权限,但 Slack 并不认可或认证这些应用。我们建议你仅安装你信任的工具。

了解更多有关应用的信息

Slack API 提供了你所需的一切信息,以及更多有关构建应用的知识。查看我们的博客,获取更多有关如何让应用为你的团队工作的灵感。