团队使用中的安全问题 - Obsidian 中文帮助

Obsidian 的 [安全页面](https://obsidian.md/security) 汇总了 Obsidian 如何保护用户数据的相关信息，同时也是第三方安全审计结果的展示平台。 ## 考虑事项 Obsidian 是一个独立的离线应用，且支持自定义插件和主题。此外，我们提供官方或非官方的文件同步服务。如果你不打算使用社区插件或主题，也不打算使用 Obsidian 的 [[Obsidian 官方同步简介|同步服务]] 或 [[发布服务简介|发布服务]]，那么你可以按照标准程序来保护应用。但如果你需要使用这些功能，我们建议你彻底评估这些功能在你工作环境中的适用性。 ## 社区插件和主题请查看 [[插件安全]] 页面以获取更多信息。我们会审核通过 [我们的发布库](https://github.com/obsidianmd/obsidian-releases/pulls?q=is%3Apr+is%3Aopen+sort%3Aupdated-desc) 提交到官方社区市场的所有社区插件和主题。我们不审核未提交到社区市场的项目。目前，我们社区市场不提供 [[CSS 代码片段]]。这些文件通常来自 [Obsidian 社区](https://obsidian.md/community) 或公共的 GitHub 仓库。我们要求在 CSS 片段和主题中捆绑资源。然而，为了在移动设备上保持性能，我们对 [Google Fonts](https://fonts.google.com/) 做了例外处理。 ## 网络和访问虽然我们优先考虑本地功能，但 Obsidian 会根据你使用的服务和功能进行网络连接。这些网络连接可以通过域防火墙或锁定应用程序来禁用。 Obsidian 通过 HTTPS 端口 443 进行网络连接。以下是 Obsidian 进行的网络连接列表： ### 来自 Obsidian 的连接 - **内部版本更新**：使用 `releases.obsidian.md`。 - **账户和许可证管理**：在设置中访问你的 Obsidian 账户和应用商用许可证时，我们会调用 `api.obsidian.md`。 - **Obsidian 同步服务** - `sync-xx.obsidian.md`，其中 `xx` 为 01-100 之间的数字。 - **Obsidian 发布服务**： 1. 后端：`publish-main.obsidian.md` 和 `publish-xx.obsidian.md`，其中 `xx` 为数字。 2. 前端：`publish.obsidian.md`。 ### 来自 GitHub 的连接 - **公开发布**：如果启用了自动更新，Obsidian 会检查 GitHub 上的公开发布版本。 - **第三方主题和插件**： - 每 12 小时执行一次检查，以获取托管在 GitHub 上的“废弃插件”文件。该文件有助于远程处理已知故障、数据丢失问题或潜在漏洞或恶意的插件。 - 启用的插件可能会产生 Obsidian 和 GitHub 之外的网络流量。 ### 其他连接 - **插入的在线内容**：当打开插入了在线内容（如图像）的笔记时，例如 `![cat](https://upload.wikimedia.org/wikipedia/commons/0/0b/Cat_poster_1.jpg)`，就会产生其他网络连接。 - **DNS 请求**：如果在建立连接之前需要解析主机名，包括 DNS over HTTPS。更多信息请参阅 [Chromium 的文档](https://source.chromium.org/chromium/chromium/src/+/main:net/dns/public/doh_provider_entry.cc;l=120?q=chrome.cloudflare-dns.com&ss=chromium)。 ## 常见问题解答 ### 账户安全 **Obsidian 支持单点登录（SSO）吗？** Obsidian 不支持 SSO。在大多数情况下，除非你使用 Obsidian 的 [[Obsidian 官方同步简介|同步服务]] 或 [[发布服务简介|发布服务]]，否则不需要账户或登录。 **Obsidian 支持多因素认证（MFA）吗？** Obsidian 支持 [[两步验证]]（2FA）用于 Obsidian 账户，但不支持将其用于打开和使用应用程序。启用 2FA 的 [[Obsidian 官方同步简介|同步服务]] 或 [[发布服务简介|发布服务]]用户在首次登录应用程序时需要确认其 2FA 密钥。 ### 评估和认证 **Obsidian 接受我们公司的安全评估吗？** 只有订单超过我们最低的采购金额，我们才考虑接受安全评估。因为这些评估通常耗时较长，并且可能不适用于像 Obsidian 这样离线的应用程序，因为它们通常针对云服务。但是，你可以通过预付费来跳过这一准入门槛。请 [[帮助与支持#联系官方支持|联系我们]] 以了解此选项。 **Obsidian 是否有任何与信息安全或质量标准相关的认证，如 ISO27001、NIST、COBIT 或其他 ISO 或 CSA 认证？** 目前没有。这可能是我们未来会探索的方向，但目前我们专注于我们的 [安全审计](https://obsidian.md/security)。