> For the complete documentation index, see [llms.txt](https://library.zoom.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://library.zoom.com/technical-library/zh/ai-whitepaper/an-quan-kuang-jia.md).

# 安全框架

## **安全框架**

Zoom 的安全软件开发生命周期（SDLC）是一套旨在将安全性融入软件开发生命周期每个阶段的实践和流程。Zoom 的安全软件开发控制会由独立审计机构进行评估，相关内容见 Zoom 的安全认证和声明，这些内容可供客户在线查阅，见于 [Zoom 的信任中心](https://www.zoom.com/en/trust/legal-compliance/?ampDeviceId=bb815bd9-9fc2-43c5-8323-028b2011295a\&ampSessionId=1777925804236)。Zoom AI 功能/特性遵循 Zoom 的标准安全 SDLC 流程，其中包括以下部分。

## **设计审查**

Zoom 的工程安全团队会在功能/特性构思阶段参与设计阶段，以便将关键安全控制纳入需求中。会执行安全设计审查，其中包括威胁分析，以识别潜在威胁和缓解措施。Zoom 维护漏洞修复标准，以规范在安全设计审查中发现的安全漏洞的修复或缓解。

## **代码审查**

同行代码审查是 Zoom 安全软件开发生命周期的关键组成部分，并在 Zoom 的软件开发平台中强制执行。除同行代码审查外，安全设计审查期间识别出的高风险区域还需要进行安全代码审查。在适当情况下，还会按每个版本进行手动测试。

## **静态分析测试**

Zoom 使用静态分析安全测试（SAST）工具扫描其源代码中的编码错误和常见安全漏洞，包括开放式 Web 应用程序安全项目（OWASP）的 Top 10 和国家漏洞数据库（NVD）。Zoom 维护漏洞修复标准，以规范通过静态分析测试发现的安全漏洞的修复或缓解。

## **动态分析测试**

Zoom 使用动态分析安全测试（DAST）工具识别常见安全漏洞，包括 OWASP 的 Top 10 和 NVD。Zoom 维护漏洞修复标准，以规范通过动态分析测试发现的安全漏洞的修复或缓解。

## **第三方代码审查**

在使用开源软件（OSS）时，OSS 软件包必须经过 Zoom 的第三方代码审查流程，该流程包括一套 OSS 评估标准和对常见安全漏洞的扫描。Zoom 维护漏洞修复标准，以规范通过第三方 OSS 扫描工具发现的安全漏洞的修复或缓解。

## **部署**

新产品和功能/特性的部署需要获得安全批准，包括 Zoom AI 功能/特性。Zoom 设有专门的发布安全保障职能，负责在发布前扫描 Zoom 客户端构建版本。最终的 Zoom 客户端构建版本扫描旨在识别潜在漏洞或恶意内容，并对构建版本进行数字签名以维护其完整性和真实性。

## **生成式 AI 模型安全**

除上述 Zoom 安全 SDLC 中概述的步骤外，Zoom 托管的模型还会接受安全审查，以评估生成式 AI 模型特有的安全威胁。生成式 AI 模型审查包括常见的大语言模型（LLM）漏洞，并与 OWASP 的 LLM Top 10 及其他安全 AI 框架保持一致。在生成式 AI 安全审查中发现的漏洞必须按照 Zoom 的漏洞修复标准进行修复。

Zoom 的第三方分包处理方至少每年都会接受一次安全评估，作为 Zoom 第三方风险管理计划的一部分。Zoom 的第三方风险管理控制会由独立审计机构进行评估，相关内容见 Zoom 的安全认证和声明，这些内容可供客户在线查阅，见于 [Zoom 的信任中心](https://www.zoom.com/en/trust/legal-compliance/?ampDeviceId=bb815bd9-9fc2-43c5-8323-028b2011295a\&ampSessionId=1777925804236).

## **安全评估**

Zoom 拥有一支专门的主动安全团队，持续在 Zoom 平台上开展漏洞研究和红队演练，包括针对 Zoom AI 功能/特性。除 Zoom 专门的主动安全团队外，还会由独立第三方至少每年执行一次渗透测试。

## **漏洞披露计划**

Zoom 相信独立的安全研究社区能够为 Zoom 产品的安全性做出关键贡献。Zoom 维护一个 [漏洞披露计划](https://www.zoom.com/en/trust/vulnerability-disclosure/?ampDeviceId=bb815bd9-9fc2-43c5-8323-028b2011295a\&ampSessionId=1777925804236) 以及通过 HackerOne 开展的漏洞报告奖励计划，以激励安全研究人员负责任地报告潜在安全漏洞，从而使 Zoom 能够修复这些漏洞并保障其用户安全。

## **合规性认证**

Zoom 的 AI 功能/特性遵循与其所集成的主要 Zoom 产品相同的安全和合规性要求，而 Zoom Workplace（先前名为 AI Companion）中的关键 Zoom AI 功能/特性已通过 ISO 27001、ISO 27701 和 ISO 27017/18 认证，并纳入 Zoom 的 SOC 2 报告范围，可在线查阅 [Zoom 的信任中心](https://www.zoom.com/en/trust/legal-compliance/?ampDeviceId=bb815bd9-9fc2-43c5-8323-028b2011295a\&ampSessionId=1777925804236).


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://library.zoom.com/technical-library/zh/ai-whitepaper/an-quan-kuang-jia.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
