團隊安全性考量 - Obsidian 說明

我們的[安全性](https://obsidian.md/security)頁面彙整了 Obsidian 如何保護您資料的相關資訊，同時也是第三方完成的安全稽核報告的發布位置。 ## 注意事項 Obsidian 被設計為離線且獨立運作的應用程式。Obsidian 也支援自訂外掛程式和佈景主題。此外，我們提供對各種檔案同步服務的官方和非官方支援。如果您不打算使用社群外掛程式或佈景主題，也不使用 [[Obsidian Sync 簡介|Obsidian Sync]] 或 [[Obsidian Publish 介紹|Obsidian Publish]]，則您的標準應用程式安全措施即可適用。但如果您打算使用這些功能中的任何一項，我們建議您徹底評估其是否適合您的工作場所。 ## 社群外掛程式和佈景主題除了本節內容外，請同時參閱[[外掛程式安全性]]頁面。 Obsidian 會自動掃描[官方目錄](https://obsidian.md/plugins)中每個社群外掛程式或佈景主題的每個版本，檢查安全漏洞、程式碼品質問題和惡意軟體。每個專案的目錄頁面會以安全評分卡的形式顯示結果。我們會繼續對熱門、精選和被標記的項目進行人工審查。我們不會審查未提交至官方目錄的社群項目。我們沒有為 [[CSS 片段]]設立社群商店。這些檔案通常從我們的 [Obsidian 社群](https://obsidian.md/community)或公開的 GitHub 儲存庫取得。我們要求在 CSS 片段和佈景主題中將資源打包。但我們為 [Google Fonts](https://fonts.google.com/) 做了例外處理，以維持行動裝置上的效能，因為在行動裝置上打包字型的影響更為明顯。 ## 網路與存取 Obsidian 在優先採用本機優先方式的同時，會根據您使用的服務和功能進行網路連線。這些網路連線可以透過網域防火牆或應用程式鎖定來停用。 Obsidian 透過 HTTPS 連接埠 443 進行這些網路連線。以下是 Obsidian 進行的網路連線清單。 ### Obsidian 來源的連線 - **搶先體驗更新**：使用 `releases.obsidian.md`。 - **帳戶與授權管理**：在設定中存取您的 Obsidian 帳戶以及套用商業授權時，我們會呼叫 `api.obsidian.md`。 - **Obsidian Sync**：用於跨裝置同步您的筆記。 - `sync-xx.obsidian.md`，其中 `xx` 是 01-100 之間的數字。 - **Obsidian Publish**： 1. 後端：`publish-main.obsidian.md` 和 `publish-xx.obsidian.md`，其中 `xx` 是數字。 2. 前端：`publish.obsidian.md`。 ### GitHub 來源的連線 Obsidian 會向 `github.com` 和 `raw.githubusercontent.com` 發送網路請求。 - **公開發行版本**：如果啟用了自動更新，Obsidian 會檢查 GitHub 上的公開發行版本。 - **第三方佈景主題和外掛程式**： - 從應用程式啟動時間起，每 12 小時會執行一次檢查，從 GitHub 上取得用於「外掛程式棄用」的檔案。此檔案有助於遠端停用已知會故障、導致資料遺失，或可能存在漏洞或惡意行為的特定外掛程式版本。 - 已啟用的外掛程式可能會產生超出 Obsidian 和 GitHub 控制範圍的網路流量。 ### 其他連線 - **嵌入的線上內容**：當開啟嵌入線上內容的筆記時，例如圖片（`![cat](https://upload.wikimedia.org/wikipedia/commons/0/0b/Cat_poster_1.jpg)`）。 - **DNS 請求**：如果在建立連線前需要解析主機名稱，包括 DNS over HTTPS。請參閱 [Chromium 的文件](https://source.chromium.org/chromium/chromium/src/+/main:net/dns/public/doh_provider_entry.cc;l=120?q=chrome.cloudflare-dns.com&ss=chromium)以獲取更多資訊。 ## 常見問題 ### 帳戶安全 **Obsidian 是否支援單一登入（SSO）？** Obsidian 不支援 SSO。在大多數使用情境中，Obsidian 不需要在您的工作場所中建立帳戶或登入，除非您使用 [[Obsidian Publish 介紹|Obsidian Publish]] 或 [[Obsidian Sync 簡介|Obsidian Sync]]。 **Obsidian 是否支援多因素驗證（MFA）？** Obsidian 對 Obsidian 帳戶支援[[雙重驗證]]（2FA），但不支援在開啟和使用基本應用程式時進行 2FA。啟用了 2FA 的 [[Obsidian Sync 簡介|Obsidian Sync]] 和 [[Obsidian Publish 介紹|Obsidian Publish]] 使用者，在首次登入應用程式時需要確認其 2FA 金鑰。 ### 評估與認證 **你們是否接受來自我們公司的安全評估？** 我們需要達到最低報價採購訂單金額才會考慮完成安全評估。這些評估通常耗時較長，而且可能不適用於像 Obsidian 這樣的離線應用程式，因為它們通常針對雲端服務設計。不過，您可以同意支付預付費用來免除此報價採購訂單金額的要求。請聯繫 [[說明與支援#聯繫 Obsidian 支援|Obsidian 支援]] 以詢問此選項。 **你們是否擁有與資訊安全或品質標準相關的認可認證，例如 ISO27001、NIST、COBIT 或其他 ISO 或 CSA 認證？** 目前沒有。這可能是我們未來會探索的方向，但目前我們的重點放在我們的[安全稽核](https://obsidian.md/security)上。