> For the complete documentation index, see [llms.txt](https://library.zoom.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://library.zoom.com/technical-library/zh-tw/ai-whitepaper/an-quan-kuang-jia.md).

# 安全框架

## **安全框架**

Zoom 的安全軟體開發生命週期（SDLC）是一套旨在將安全性整合至軟體開發生命週期各階段的實務與流程。Zoom 的安全軟體開發控制會由獨立稽核公司進行評估，如 Zoom 的安全認證與聲明所示，這些資料可供客戶於 [Zoom 的信任中心](https://www.zoom.com/en/trust/legal-compliance/?ampDeviceId=bb815bd9-9fc2-43c5-8323-028b2011295a\&ampSessionId=1777925804236)。Zoom AI 功能遵循 Zoom 的標準安全 SDLC 流程，其中包含以下各節。

## **設計審查**

Zoom 的工程安全團隊會在功能構思階段參與設計流程，使關鍵安全控制能納入需求中。會執行安全設計審查，其中包含威脅分析，以識別潛在威脅與緩解措施。Zoom 維護漏洞修復標準，以規範在安全設計審查期間識別出的安全漏洞之修復或緩解。

## **程式碼審查**

同儕程式碼審查是 Zoom 安全軟體開發生命週期的關鍵要素，並在 Zoom 的軟體開發平台中強制執行。除了同儕程式碼審查外，安全設計審查中識別出的高風險區域還需要進行安全程式碼審查。在適當情況下，也會按每個版本進行手動測試。

## **靜態分析測試**

Zoom 使用靜態分析安全測試（SAST）工具掃描其原始碼中的程式設計錯誤與常見安全漏洞，包括 Open Web Application Security Project（OWASP）前 10 大與國家漏洞資料庫（NVD）。Zoom 維護漏洞修復標準，以規範透過靜態分析測試識別出的安全漏洞之修復或緩解。

## **動態分析測試**

Zoom 使用動態分析安全測試（DAST）工具識別常見安全漏洞，包括 OWASP 前 10 大與 NVD。Zoom 維護漏洞修復標準，以規範透過動態分析測試識別出的安全漏洞之修復或緩解。

## **第三方程式碼審查**

若使用開放原始碼軟體（OSS），該 OSS 套件必須經過 Zoom 的第三方程式碼審查流程，其中包括一套 OSS 評估標準，以及針對常見安全漏洞的掃描。Zoom 維護漏洞修復標準，以規範透過第三方 OSS 掃描工具識別出的安全漏洞之修復或緩解。

## **部署**

新產品與功能的部署需要安全核准，包括 Zoom AI 功能。Zoom 設有專門的發佈安全保障功能，負責在發佈前掃描 Zoom 用戶端建置版本。最終的 Zoom 用戶端建置掃描旨在識別潛在漏洞或惡意內容，而該建置版本會以數位方式簽署，以維持其完整性與真實性。

## **生成式 AI 模型安全性**

除了上述 Zoom 安全 SDLC 中列出的步驟之外，Zoom 託管的模型還會接受安全審查，以評估生成式 AI 模型特有的安全威脅。生成式 AI 模型審查包含常見的 LLM 模型漏洞，並與 OWASP 的 LLM 前 10 大及其他安全 AI 框架一致。在生成式 AI 安全審查中識別出的漏洞必須依照 Zoom 的漏洞修復標準予以修復。

作為 Zoom 第三方風險管理計畫的一部分，Zoom 的第三方次處理者至少每年都會接受一次安全評估。Zoom 的第三方風險管理控制會由獨立稽核公司進行評估，如 Zoom 的安全認證與聲明所示，這些資料可供客戶於 [Zoom 的信任中心](https://www.zoom.com/en/trust/legal-compliance/?ampDeviceId=bb815bd9-9fc2-43c5-8323-028b2011295a\&ampSessionId=1777925804236).

## **安全評估**

Zoom 設有專責的進攻性安全團隊，持續針對 Zoom 平台進行漏洞研究與紅隊演練，包括 Zoom AI 功能。除了 Zoom 的專責進攻性安全團隊之外，還會由獨立第三方至少每年執行一次滲透測試。

## **漏洞揭露計畫**

Zoom 相信獨立安全研究社群能為 Zoom 產品的安全性提供關鍵貢獻。Zoom 維護一個 [漏洞揭露計畫](https://www.zoom.com/en/trust/vulnerability-disclosure/?ampDeviceId=bb815bd9-9fc2-43c5-8323-028b2011295a\&ampSessionId=1777925804236) ，以及透過 HackerOne 的漏洞懸賞計畫，激勵安全研究人員負責任地回報潛在安全漏洞，以便 Zoom 加以修復並確保使用者安全。

## **合規認證**

Zoom 的 AI 功能遵循與其所整合之主要 Zoom 產品相同的安全與合規要求，而 Zoom Workplace 中的關鍵 Zoom AI 功能（前稱 AI Companion）已通過 ISO 27001、ISO 27701 與 ISO 27017/18 認證，並納入 Zoom 的 SOC 2 報告範圍內，該報告可於 [Zoom 的信任中心](https://www.zoom.com/en/trust/legal-compliance/?ampDeviceId=bb815bd9-9fc2-43c5-8323-028b2011295a\&ampSessionId=1777925804236).


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://library.zoom.com/technical-library/zh-tw/ai-whitepaper/an-quan-kuang-jia.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
