英国技术保障指南之原则：贯穿始终

　　

　　为用户提供减轻任何残余风险所需的工具和信息。

　　设计在产品中的技术防御措施可能有局限性，其有效性可能会随着时间的推移而降低。开发人员应确保随时提供有关这些限制的建议以及相关的缓解和改进，并积极向风险所有者和使用该产品的人员宣传。

　　使用该产品的人员应该可以在产品的整个生命周期内轻松访问一系列产品支持选项。应及时通知他们可利用的漏洞，以便他们可以保护自己和他人，并且在更新产品时，应告知他们安全隐患。

　　

　　当用户将产品传递给另一方时，他们应该确信他们的敏感数据不会暴露。

　　·用户手册应编写清晰，并随着产品添加新功能而更新，突出如何提高安全性。应定期提供有关安装、配置、维护和使用的安全方面的用户培训，提请注意要避免的常见错误，并解释安全隐患。

　　·如果产品或服务容易受到攻击，则应立即向受影响的用户发出安全警报。这些应清楚地详细说明他们应采取的缓解措施。有效的产品支持服务，准确维护联系方式，可以帮助用户在解决安全问题以及报告缺陷方面获得支持。

　　·使更新产品的过程变得简单而轻松，可以最大限度地提高用户采用安全增强功能的可能性。每当产品更新包含新功能时，默认情况下应将这些功能配置为最安全的状态，以便用户可以控制激活任何增加攻击面或使其面临更大风险的功能。

　　·应向用户明确发布生命周期结束日期，以便他们知道何时不再为产品提供安全更新。当已知产品提供的安全性不足时，应将其停用。

　　·用户应该能够从产品中清除其所有敏感信息和配置详细信息。这意味着当产品退回维修、转让给新所有者或处置时，其数据的风险将降至最低。

　　举报/反馈