阿里云安全中，用户安全方面阿里云提供了哪些功能？

用户在阿里云上构建的应用也需要得到安全保护。阿里云为用户提供了应用环境安全、应用配置安全和应用自身保护的三个维度的安全功能。

a) 应用环境安全

• 漏洞扫描：自动发现其网站的关联资产，并进行高效精准的自动化漏洞渗透测试和敏感内容监测，形成专业的风险扫描报告，并提出修复建议。

• 代码托管：云效服务提供了存放源代码等内容的Git 库，并提供了严格的权限控制机制。

• 代码审计：在云产品安全生命周期（SPLC）中，阿里云的安全专家在各个开发节点中都会严格审核和评估代码的安全性，代码审计服务检查源代码中的缺点和错误信息，分析并找到这些问题引发的安全漏洞并提供代码修订措施和建议。

• 安全加固：在获得客户授权委托的情况下，远程登录到客户的业务系统服务器上，根据用户的资产情况和安全需求，对其外网或内网主机进行全方位的基线加固和组件升级。

b) 应用配置安全

• ACM 配置加密：利用ACM，用户可以在微服务、DevOps、大数据等场景下极大减轻配置管理的工作量，并增强配置管理的服务能力。ACM 提供了创建加密配置的功能，降低用户配置的泄露风险。

c) 应用保护

• WAF：基于云安全大数据和智能计算能力，通过防御SQL 注入、XSS 跨站脚本、常见Web 服务器插件漏洞、木马上传、非授权核心资源访问等OWASP 常见web攻击，过滤海量恶意访问，避免网站资产数据泄露；AI 深度学习在降低误报率的同时有效地提高了检出率；基于用户业务访问端上的模型收集和大数据分析能力准实时处理高危请求；提供自动报警和全局响应规则的同步下发和升级功能。

以上内容摘自《阿里云认证的解析与实战-关系型数据库ACP认证》电子书，点击https://developer.aliyun.com/ebook/download/7806可下载完整版。