netreconlab/parse-hipaa

parse-hipaa

https://github.com/netreconlab/parse-hipaa/actions/workflows/build.yml/badge.svg](https://github.com/netreconlab/parse-hipaa/actions/workflows/build.yml) https://github.com/netreconlab/parse-hipaa/actions/workflows/build-dashboard.yml/badge.svg](https://github.com/netreconlab/parse-hipaa/actions/workflows/build-dashboard.yml) https://github.com/netreconlab/parse-hipaa/actions/workflows/release.yml/badge.svg](https://github.com/netreconlab/parse-hipaa/actions/workflows/release.yml) https://github.com/netreconlab/parse-hipaa/actions/workflows/release-dashboard.yml/badge.svg](https://github.com/netreconlab/parse-hipaa/actions/workflows/release-dashboard.yml)

!dashboard

运行您自己的符合HIPAA和GDPR标准的https://github.com/parse-community/parse-server%EF%BC%8C%E6%94%AF%E6%8C%81PostgreSQL%E6%88%96https://github.com/netreconlab/parse-hipaa/blob/main/docker-compose.mongo.yml%E3%80%82parse-hipaa%E8%BF%98%E5%8C%85%E5%90%ABhttps://github.com/parse-community/parse-dashboard%EF%BC%8C%E7%94%A8%E4%BA%8E%E5%9C%A8%E4%BA%91%E7%AB%AF%E6%9F%A5%E7%9C%8B/%E4%BF%AE%E6%94%B9%E6%95%B0%E6%8D%AE%E3%80%82%E4%BD%9C%E4%B8%BAparse-server%E7%9A%84%E8%A1%8D%E7%94%9F%E7%89%88%E6%9C%AC%EF%BC%8Cparse-hipaa%E5%8F%AF%E7%94%A8%E4%BA%8EiOS%E3%80%81Android%E3%80%81https://github.com/parse-community/Parse-SDK-Flutter/tree/master/packages/flutter#getting-started%E5%92%8C%E5%9F%BA%E4%BA%8EWeb%E7%9A%84%E5%BA%94%E7%94%A8%EF%BC%88JS%E3%80%81React Native等）。默认启用GraphQL和REST API，可直接测试或通过Parse Dashboard中的"API Console"测试。详情和示例请参见Parse SDK文档。parse-hipaa包含符合HIPAA合规所需的数据库审计和日志功能。

核心功能

parse-hipaa提供以下特性：

• 服务器管理级别（Parse）和数据库级别（Postgres或Mongo）的审计与日志记录
• User类（及ParseCareKit类，如使用）默认禁止未认证访问（标准parse-server默认允许未认证读取）
• 禁用客户端创建新Parse类和添加字段，需通过Parse Dashboard在服务器端操作（标准parse-server默认允许客户端创建类和字段）
• 支持传输加密 - parse-hipaa及其配套镜像可配置为运行在代理后端，并提供Nginx和LetsEncrypt的https://github.com/netreconlab/parse-hipaa#deploying-on-a-real-system
• 仅允许认证用户上传文件（标准parse-server默认允许未认证上传）
• 文件上传默认使用AES-256-GCM加密（标准parse-server默认不加密文件）
• 文件上传可通过clamav扫描病毒和***软件后再保存（默认关闭）。配置示例见https://github.com/netreconlab/parse-hipaa/blob/main/parse/cloud/files.js%EF%BC%8C%E5%90%AF%E7%94%A8%E6%96%B9%E6%B3%95%E8%A7%81https://github.com/netreconlab/parse-hipaa/blob/37f79bdb99781b634780b3af6a7e33e6beae44a0/parse/cloud/main.js#L8

合规说明

要实现完全HIPAA和GDPR合规，您还需自行配置以下内容：

• 传输加密 - 需完成https://github.com/netreconlab/parse-hipaa#deploying-on-a-real-system
• 静态加密 - 将数据库挂载到加密存储驱动器（Linux和macOS提供相关API）并安全存放
• 确保满足HIPAA和GDPR的其他要求
• 若使用Heroku等远程服务，可能需要购买额外服务（如Shield Spaces）

https://github.com/netreconlab/CareKitSample-ParseCareKit%E9%A1%B9%E7%9B%AE%E4%BD%BF%E7%94%A8parse-hipaa%E5%92%8Chttps://github.com/netreconlab/ParseCareKit%E3%80%82

风险提示：使用本镜像需自行承担风险，不保证完全符合HIPAA合规，我们不对数据处理不当负责。

包含组件

Parse-HIPAA基于https://hub.docker.com/r/parseplatform/parse-server%E6%9E%84%E5%BB%BA%EF%BC%8C%E5%8C%85%E5%90%AB%E4%BB%A5%E4%B8%8B%E9%A2%9D%E5%A4%96%E5%8C%85%EF%BC%9A

• https://github.com/netreconlab/parse-hipaa-dashboard
• https://github.com/netreconlab/parse-server-carekit
• clamscan
• newrelic - Heroku部署自动配置，其他环境需额外配置
• https://github.com/netreconlab/parse-server-any-analytics-adapter - 需额外配置
• @analytics/google-analytics - 需额外配置
• @analytics/google-analytics-v3 - 需额外配置
• @parse/s3-files-adapter - 需额外配置
• parse-server-api-mail-adapter - 需额外配置
• mailgun.js - 需额外配置

镜像信息

parse-hipaa镜像自动构建，可通过以下位置获取：

• https://hub.docker.com/r/netreconlab/parse-hipaa
• https://github.com/netreconlab/parse-hipaa/pkgs/container/parse-hipaa

镜像标签

生产环境

• latest - 指向最新发布版本，不含https://github.com/netreconlab/parse-hipaa-dashboard%EF%BC%8C%E9%95%9C%E5%83%8F%E4%BD%93%E7%A7%AF%E6%9C%80%E5%B0%8F
• x.x.x - 指向特定发布版本，版本号与https://github.com/parse-community/parse-server#flavors--branches%E5%AF%B9%E5%BA%94%EF%BC%8C%E4%B8%8D%E5%90%ABdashboard%EF%BC%8C%E9%95%9C%E5%83%8F%E4%BD%93%E7%A7%AF%E6%9C%80%E5%B0%8F
• x.x.x-dashboard - 指向特定发布版本，版本号与parse-server对应，包含https://github.com/netreconlab/parse-hipaa-dashboard%EF%BC%8C%E9%95%9C%E5%83%8F%E4%BD%93%E7%A7%AF%E8%BE%83%E5%A4%A7

开发环境

• main - 包含最新代码，依赖最新parse-server版本，含dashboard，可能包含破坏性变更
• x.x.x-alpha/beta - 包含最新代码，依赖parse-server的alpha/beta版本，含dashboard，可能包含破坏性变更

使用建议

可组合使用多个标签镜像构建高可用(HA)应用，例如：1个Nginx反向代理/负载均衡器、1个x.x.x-dashboard parse-hipaa服务器、2个x.x.x parse-hipaa服务器、1个Percona Monitor and Management服务器。

• 标准版本（不含dashboard）：latest或x.x.x，适合构建HA集群或独立服务器，需单独部署dashboard。示例配置见https://github.com/netreconlab/parse-hipaa/blob/main/docker-compose.yml
• 带dashboard版本：x.x.x-dashboard，适合单服务器部署，包含dashboard功能。示例配置见https://github.com/netreconlab/parse-hipaa/blob/main/docker-compose-dashboard.yml
• 开发版本：main或x.x.x-alpha/beta，仅用于测试最新功能，不建议生产环境使用

部署方法

远程部署

Heroku

![Deploy]([***]

通过一键部署快速部署到Heroku。注意：Heroku免费服务不符合HIPAA合规，需参考Heroku合规认证并升级至Shield Spaces。详细步骤见文档。**非ParseCareKit应用请使用https://github.com/netreconlab/parse-hipaa/tree/Snapchat#heroku-with-postgres%E7%9A%84Heroku%E6%8C%89%E9%92%AE**%E3%80%82%E9%83%A8%E7%BD%B2%E6%AD%A5%E9%AA%A4%EF%BC%9A

1. 输入应用名称
2. 在Config vars部分配置环境变量：
   • NEW_RELIC_APP_NAME设为步骤1的应用名称
   • 添加PARSE_DASHBOARD_USER_ID用于登录Parse Dashboard
   • 添加PARSE_DASHBOARD_USER_PASSWORD（密码哈希可通过bcrypt-generator.com生成）
   • 其他变量可保持默认或按需修改
3. 若不使用ParseCareKit，设置PARSE_SERVER_USING_PARSECAREKIT=false
4. 点击Deploy app
5. 部署完成后，通过https://YOUR_APP_NAME.herokuapp.com/parse（服务器）或https://YOUR_APP_NAME.herokuapp.com/dashboard（dashboard）访问，路径由PARSE_SERVER_MOUNT_PATH和PARSE_DASHBOARD_MOUNT_PATH定义
6. 在Settings->Reveal Config Vars中获取PARSE_SERVER_APPLICATION_ID，客户端需配置applicationId（即该值）和serverURL（即https://YOUR_APP_NAME.herokuapp.com/parse）

自定义Heroku部署

1. Fork parse-hipaa仓库
2. 编辑heroku.yml，将parse/Dockerfile.heroku改为parse/Dockerfile，使构建基于自定义代码
3. 修改parse/index.js和parse/cloud等文件
4. 参考Heroku文档进行部署和集成

本地部署

Docker部署（Postgres/Mongo）

默认docker-compose.yml使用https://github.com/netreconlab/hipaa-postgres/%EF%BC%8C%60docker-compose.mongo.yml%60%E4%BD%BF%E7%94%A8https://github.com/netreconlab/hipaa-mongo/%E3%80%82

• Postgres（HIPAA合规版）：

  bash
  docker-compose up
  

• Mongo（HIPAA合规版）：

  bash
  docker-compose -f docker-compose.mongo.yml up
  

• Postgres（非合规版）：

  bash
  docker-compose -f docker-compose.no.hipaa.yml up
  

• Mongo（非合规版）：未提供，参考标准https://github.com/parse-community/parse-server#inside-a-docker-container%E9%83%A8%E7%BD%B2

环境变量配置

parse-hipaa由4个独立Docker镜像组成（同时使用3个），需正确配置环境变量。完整变量列表见https://github.com/netreconlab/parse-hipaa/blob/main/app.json%E3%80%82

netreconlab/parse-hipaa

bash
PARSE_SERVER_APPLICATION_ID # 唯一字符串
PARSE_SERVER_PRIMARY_KEY # 唯一字符串
PARSE_SERVER_READ_ONLY_PRIMARY_KEY # 唯一字符串
PARSE_SERVER_ENCRYPTION_KEY # 文件加密密钥
PARSE_SERVER_OBJECT_ID_SIZE # ObjectId长度，默认10，建议医疗应用设为32
PARSE_SERVER_DATABASE_URI # 数据库连接URI，如postgres://${PG_PARSE_USER}:${PG_PARSE_PASSWORD}@db:5432/${PG_PARSE_DB}
PORT # 端口，默认1337
PARSE_SERVER_MOUNT_PATH # 挂载路径，默认/parse
PARSE_SERVER_URL # 服务器URL，默认http://parse:${PORT}/parse
PARSE_SERVER_PUBLIC_URL # 公开URL，默认http://localhost:${PORT}/parse
PARSE_SERVER_CLOUD # 云代码路径，默认/parse/cloud/main.js
PARSE_SERVER_MOUNT_GRAPHQL # 是否启用GraphQL，默认true
PARSE_SET_USER_CLP # 是否限制User类访问，默认1
PARSE_SERVER_ALLOW_CLIENT_CLASS_CREATION # 是否允许客户端创建类，默认false
PARSE_SERVER_ALLOW_CUSTOM_OBJECTID # ParseCareKit必需，默认true
PARSE_SERVER_ENABLE_SCHEMA_HOOKS # 跨实例同步 schema，默认true
PARSE_SERVER_DIRECT_ACCESS # 禁用直接访问，默认false
PARSE_SERVER_USING_PARSECAREKIT # 是否使用ParseCareKit，默认true
PARSE_VERBOSE # 是否启用详细日志，默认false
POSTGRES_PASSWORD # 需与hipaa-postgres的POSTGRES_PASSWORD一致

netreconlab/hipaa-postgres

bash
POSTGRES_PASSWORD # 数据库集群密码
PG_PARSE_USER # parse数据库用户名
PG_PARSE_PASSWORD # parse数据库密码
PG_PARSE_DB # parse数据库名称

netreconlab/hipaa-mongo

bash
# 需手动修改/scripts/mongo-init.js，环境变量不直接传递
MONGO_INITDB_ROOT_USERNAME # 管理员用户名
MONGO_INITDB_ROOT_PASSWORD # 管理员密码
MONGO_INITDB_DATABASE # parse数据库名称

parse-hipaa-dashboard/parse-dashboard

bash
PARSE_DASHBOARD_TRUST_PROXY # 代理后端时设置为1
PARSE_DASHBOARD_ALLOW_INSECURE_HTTP # 非代理环境设置为1（二选一）
PARSE_DASHBOARD_COOKIE_SESSION_SECRET # 会话密钥
PARSE_DASHBOARD_MOUNT_PATH # 挂载路径，默认/dashboard

首次启动说明

首次启动时，parse-server（控制台显示为parse_1）可能因Postgres初始化而多次连接失败，属正常现象。Postgres初始化完成后会显示：

bash
db_1         | PostgreSQL init process complete; ready for start up.

parse-server连接成功后显示：

bash
parse_1      | parse-server running on port 1337.
parse_1      | publicServerURL: http://localhost:1337/parse, serverURL: http://parse:1337/parse
parse_1      | GraphQL API running on http://localhost:1337/parsegraphql
parse_1      | info: Parse LiveQuery Server starts running

控制台可能出现类似以下数据库错误日志，属正常现象（parse检查并配置数据库）：

bash
db_1         | 2020-03-18 21:59:21.550 UTC [105] ERROR:  duplicate key value violates unique constraint "pg_type_typname_nsp_index"
...

Singularity部署

提供Singularity镜像，托管于GitHub Container Registry，示例配置见https://github.com/netreconlab/parse-hipaa/blob/main/singularity-compose.yml%E3%80%82

Parse Server配置

Parse Server默认绑定1337端口，访问地址http://localhost:1337/parse。可通过修改https://github.com/netreconlab/parse-hipaa/blob/main/index.js%E9%85%8D%E7%BD%AE%E6%8E%A8%E9%80%81%E9%80%9A%E7%9F%A5%E3%80%81%E5%AF%86%E7%A0%81%E9%87%8D%E7%BD%AE%E3%80%81https://github.com/parse-community/parse-server#available-adapters%E7%AD%89%E3%80%82%E8%AF%A5%E6%96%87%E4%BB%B6%E4%B8%BAExpress%E5%BA%94%E7%94%A8%EF%BC%8C%E5%8F%82%E8%80%83https://github.com/parse-community/parse-server#using-expressjs%E3%80%82

生产环境配置（ParseCareKit）

生产环境需创建索引优化查询：

Postgres

1. 进入容器：docker exec -u postgres -ti parse-hipaa_db_1 bash
2. 运行脚本：./usr/local/bin/setup-parse-index.sh

幂等性配置

建议启用幂等性，参考https://github.com/parse-community/parse-server#idempotency-enforcement%E3%80%82Postgres%E5%8F%AF%E9%80%9A%E8%BF%87cron%E5%AE%9A%E6%9C%9F%E6%89%A7%E8%A1%8C%5Bparse_idempotency_delete_expired_rec