2015年9月14日，國(guó)家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布預(yù)警，主要內(nèi)容是“CNCERT監(jiān)測(cè)發(fā)現(xiàn)，開(kāi)發(fā)者使用非蘋(píng)果公司官方渠道的XCODE工具開(kāi)發(fā)蘋(píng)果應(yīng)用程序（蘋(píng)果APP）時(shí)，會(huì)向正常的蘋(píng)果APP中植入惡意代碼。被植入惡意程序的蘋(píng)果APP可以在App Store正常下載并安裝使用。該惡意代碼具有信息竊取行為，并具有進(jìn)行惡意遠(yuǎn)程控制的功能”。

這一驚人消息很快被傳播，特別是很多重量級(jí)公司的重要產(chǎn)品（例如微信）也中招，更是令人恐慌。所有互聯(lián)網(wǎng)公司都在慌張的自查和修補(bǔ)漏洞。然而，這幾天聯(lián)軟研發(fā)中心卻一片平靜，波瀾不驚，這得益于我們12年來(lái)一直貫徹執(zhí)行的可靠、有效的產(chǎn)品發(fā)布安全管理規(guī)范，在這里我們簡(jiǎn)單分享一下其中最重要的8條原則：

1. 所有的開(kāi)發(fā)環(huán)境、工具、相關(guān)軟件等都必須從官方下載，并且保證是正版，不運(yùn)行盜版軟件、注冊(cè)機(jī)和破解補(bǔ)丁。
2. 產(chǎn)品編譯打包發(fā)布必須由經(jīng)驗(yàn)豐富的專人在特定的內(nèi)網(wǎng)機(jī)器上完成，不允許私自發(fā)布產(chǎn)品。開(kāi)發(fā)人員只能提交源代碼，不允許提交可執(zhí)行文件。
3. 不使用沒(méi)有源代碼的第三方庫(kù)，不使用不經(jīng)過(guò)充分驗(yàn)證的開(kāi)源代碼。
4. 所有發(fā)布的二進(jìn)制組件必須使用有效證書(shū)簽名，并且發(fā)布的應(yīng)用有自檢功能，發(fā)現(xiàn)被篡改后立即停止運(yùn)行并警告。
5. 如果要到被封鎖的國(guó)外網(wǎng)站（例如Google）下載源代碼，可以先到其他國(guó)家或地區(qū)（例如日本、香港）購(gòu)買(mǎi)專用中轉(zhuǎn)服務(wù)器，先下載到中轉(zhuǎn)服務(wù)器，再通過(guò)加密通道傳回中國(guó)大陸。中轉(zhuǎn)服務(wù)器的一切必須由自己控制，不允許使用免費(fèi)的或沒(méi)有相關(guān)資質(zhì)的代理服務(wù)器和相關(guān)軟件。
6. 所有相關(guān)機(jī)器必須打上最新的系統(tǒng)補(bǔ)丁和軟件補(bǔ)丁，特別是開(kāi)發(fā)工具的補(bǔ)丁。
7. 所有開(kāi)發(fā)和測(cè)試工程師必須定期接受安全培訓(xùn)。
8. 在自身能力許可下，盡量保證獨(dú)立研發(fā)，以避免濫用開(kāi)源代碼。