核准應用程式的安全性建議事項

如果將 Slack 連結至你原本使用的各項工具,就能發揮最強功能。 在你許可的情況下,應用程式及整合可存取你的工作空間資訊,協助你自動處理及完成各項工作。

為了更妥善維護資料安全,請務必瞭解應用程式如何搭配 Slack 運作,以便協助你訂定政策,用於審核及核准整合式工具。 

1.瞭解適用於 Slack 的應用程式

根據預設,成員可安裝任何 Slack 應用程式目錄的應用程式,或建構內部整合因應公司需求。視你的安全性偏好設定而定,工作空間擁有者可控制應用程式的安裝方式及安裝者

不論你想使用 Google DriveDropbox 等現有服務,或是想自行建構,我們都能提供資源,協助你瞭解如何安裝及建立自己所需的應用程式。

📒 瞭解應用程式及應用程式目錄
⚙️ 將應用程式新增至工作空間
🛠 使用內部整合自訂 Slack


2.瞭解應用程式權限

應用程式目錄之中的所有應用程式,都具有名為「權限範圍」的獨一無二權限組合,可讓你瞭解應用程式能夠存取的資訊,以及資訊的使用方式。 應用程式一般會要求許可執行下列項目:

  • 張貼資訊
  • 執行動作 
  • 存取資訊 

應用程式安裝時會列出完整的權限組合。 你可在 API 文件找到詳細的權限範圍清單。

提示: 有些開發人員會向我們提交關於應用程式安全性和合規性實務的詳細資訊。若有相關資訊,你會在應用程式目錄的應用程式頁面中,於「安全性與合規性」標籤看到該類資訊。


3.啟用應用程式核准設定

工作空間擁有者可針對工作空間啟用「核准應用程式」設定,以控制安裝的方式及項目。

🎛 控制可安裝的應用程式

工作空間擁有者可建立核准及限制應用程式清單,確切控制可安裝的應用程式。成員可在應用程式目錄清楚看見工作空間核准的應用程式、需要核准的應用程式,以及不允許使用的應用程式。

👨‍✈️ 決定誰可以管理應用程式及整合

根據預設,只有工作空間擁有者可以管理應用程式。擁有者如果開啟「核准應用程式」設定,就可以允許選定成員管理核准的應用程式,以及回應應用程式安裝請求。

開啟應用程式核准

  1. 從桌面按一下左上角的工作空間名稱。
  2. 從功能表選取「設定與管理」,然後按一下「管理應用程式」。
  3. 按一下左側欄的「應用程式管理設定」。
  4. 切換開啟「核准應用程式」。

提示:對於需要核准的應用程式,請讓團隊瞭解審核應用程式請求需要多久時間,以便建立期望。


4.擬定核准政策

不論成員是請求應用程式或依據需求安裝,請在 IT、安全及政策團隊的協助下擬定應用程式核准政策,以保護工作空間。

請仔細考量資料管理的內部規範,以訂定團隊能夠接受的政策。請在審核時納入以下問題:

安裝應用程式

  • 是否具有正當的業務理由使用應用程式?
  • 是否有其他應用程式用於此用途?
  • 應用程式需要在工作空間使用多長時間?
  • 應用程式的隱私權政策為何?
  • 應用程式在頻道貼文的頻率為何?
  • 是否有任何額外成本或授權?

建立內部整合

  • 由誰負責維護整合?
  • 是否需要額外的伺服器、資料庫或整合?
  • 應用程式是否使用權杖驗證?
  • 待用資料是否加密?
  • 是否使用 TLS 加密流量?
  • 是否已檢閱「OWASP 十大應用程式安全風險」?

備註: 雖然我們會審核應用程式目錄的所有應用程式及其請求的權限,但 Slack 並未認可或認證這些應用程式。我們建議你只安裝自己信賴的工具。

深入瞭解應用程式

Slack API 擁有你需要的一切,並可協助你瞭解建構應用程式的各項需求。請查看我們的部落格,協助你激發更多靈感,利用各種方式讓應用程式協助團隊工作。