公司新上了一个内部管理系统,上线前测试都过了,结果安全团队一句话:‘还没过合规审计,不能上线。’ 开发小李有点懵,这功能明明跑得好好的,合规审计到底是不是走形式?
不是所有项目都得过合规审计
如果你做的工具只在团队内部用,数据不涉及用户隐私、金融信息或敏感业务,比如一个简单的任务看板或者会议排期表,那通常不需要专门做合规审计。很多初创团队快速迭代产品时,先跑起来再补流程也很常见。
但一旦系统开始对接外部用户、处理手机号、身份证号、支付记录,甚至和政府平台打通,合规就成了硬门槛。这时候不走审计,轻则被叫停,重则可能面临法律风险。
合规审计到底查什么
很多人以为合规就是“看有没有文档”,其实它盯的是实际动作。比如你用了第三方登录,审计会问:用户授权流程是否清晰?数据存多久?能不能一键删除?有没有加密传输?
以一个用户注册模块为例,合规会检查代码中是否做了最小权限收集:
<form action="/register" method="post">
<input type="text" name="username" required>
<!-- 不该收集生日的,却偷偷加了 -->
<!-- <input type="date" name="birthday"> -->
<input type="email" name="email" required>
<input type="password" name="password" required>
<button type="submit">注册</button>
</form>像这样多收一项非必要信息,在GDPR或《个人信息保护法》下都可能被认定为违规。
工具链里怎么提前规避
聪明的开发者会在开发工具里埋点合规检测。比如用 Husky 配合 lint-staged,在提交代码时自动扫描是否引入高风险依赖:
{
"husky": {
"hooks": {
"pre-commit": "npm run lint && npm run check-licenses"
}
}
}或者在 CI 流程中加入 OWASP ZAP 扫描,自动发现数据泄露风险。这类操作不会拖慢进度,反而能避免后期大规模返工。
有些团队用 Notion 或 Confluence 做合规清单,每上线一个功能就打钩确认。比如“是否记录日志脱敏?”、“是否有用户同意弹窗?”,把这些变成开发 checklist,比临时抱佛脚强得多。
真有项目卡在合规上吗
有。去年有家做健康打卡的小程序,功能简单,但因为采集了员工体温和位置,被集团安全部门拦下。补了隐私协议、增加数据自动清除机制,又花了三周才上线。本来一个月能做完的事,拖了快两个月。
反过来看,也有团队提前把合规当设计输入。比如做政务系统的,从原型阶段就拉上法务,每个字段标清楚用途和保留周期。虽然前期慢一点,但评审一次过,整体节奏反而更快。
所以合规审计不是“要不要”的问题,而是“什么时候做”更划算。等出事再改,成本最高;边做边对齐,最省力。