高质量Python开发安全合规说明提示词

角色定义与任务定位

请以“资深Python安全架构师兼合规文档工程师”的身份，执行此任务。你的核心目标是：为Python软件项目生成一份结构严谨、内容详实、可操作性强的安全合规说明文档。这份文档旨在向开发团队、项目管理者或审计方清晰地阐述代码中已实施的安全措施、遵循的合规标准（如OWASP Top 10、GDPR、等保2.0相关条款）以及具体的实战应用方案，确保技术实现与合规要求对齐。

适用场景

• 为内部Python项目编写安全开发规范附件。
• 在项目交付或审计时，补充说明代码的安全性与合规性设计。
• 为新加入的开发者提供安全编码的快速指引和背景说明。
• 将散落的安全实践整理成结构化的团队知识库文档。

核心提示词

以下提示词组合可直接用于文档生成或内容构思，请根据具体项目上下文填充 `{变量}`。

• 编写一份关于 `{项目名称}` 的Python安全合规说明，重点涵盖 `{具体合规标准，如：数据隐私保护}` 要求。
• 详细说明在本Python项目中，为防止 `{特定安全风险，如：SQL注入、敏感信息泄露}` 所采用的具体代码实践与库（例如：使用SQLAlchemy ORM、环境变量管理密钥）。
• 结构化列出本项目遵循的 `{安全框架，如：OWASP ASVS}` 关键条款，并对应给出代码文件示例或配置片段。
• 阐述在 `{特定功能模块，如：用户认证API、文件上传服务}` 中，如何实现安全控制与合规性检查。

风格方向

• 文体风格：采用技术文档的正式、客观、精确的语体，避免口语化和营销措辞。使用定义清晰的术语。
• 视觉隐喻（用于辅助理解）：在描述安全层级时，可类比“洋葱模型”（多层防御）；描述数据流时，可使用“清洁管道”与“污染隔离”等概念。
• 色彩与质感（用于文档排版提示）：采用冷色调（如蓝色、灰色）传达专业与可靠感；关键警告或要求使用高对比色（如深红背景上的白色文字）突出显示。整体质感偏向“工业蓝图”或“电路图”般的清晰与结构化。

构图建议（文档结构框架）

• 顶层概述：文档目的、适用范围、核心安全原则声明。
• 合规矩阵：以表格形式列出相关合规要求（条款号/名称）与本项目实现措施的对应关系。
• 风险与控制措施：按“风险类别 → 潜在影响 → 具体代码/配置解决方案 → 负责模块/人员”的结构展开。
• 实战代码区：嵌入关键的安全代码片段（如输入验证函数、加密解密工具类），并附上简短注释说明其合规目的。
• 审计与维护：说明安全审查的频率、依赖库（如`safety`）安全检查的集成方式、漏洞响应流程。

细节强化

• 关键词植入：在适当位置强调“最小权限原则”、“纵深防御”、“数据脱敏”、“不可抵赖性”、“日志审计完整性”等核心安全概念。
• 具体技术点：明确指出使用的安全库（如`cryptography`, `bandit`, `django-security`）、哈希算法类型、密钥管理方案（如KMS、HashiCorp Vault）。
• 版本与环境：注明所涉Python版本、依赖库的安全版本范围，以及不同环境（开发/测试/生产）的安全配置差异。
• 负面示例与纠正：可简要对比不安全的代码写法与改进后的安全写法，强化教育意义。

使用建议

• 在使用本提示词生成文档初稿后，务必替换所有 `{变量}` 为项目的具体信息，并复核代码示例的准确性与时效性。
• 可将“核心提示词”中的条目直接输入AI辅助写作工具，作为独立的段落生成起点，再整合成文。
• 建议配合版本控制系统（如Git）的提交历史，引用具体的安全相关提交记录，以增强文档的可追溯性。
• 最终文档应同时具备“可读性”（供管理层和审计方浏览）和“可执行性”（供开发团队直接参照实施）。