企业信息安全:安全编码
|
设计就好比建房子的图纸,图纸布置好了,剩下的就是该怎么盖房子的问题了。但是盖房子也会遇到各种问题,不按图纸盖、偷工减料、人员水平参差不齐等各种因素,最后就变成买家秀和卖家秀了。为了尽可能的接近买家秀,就是在开发阶段严格遵循安全设计的要求进行规则化落地,不要有不必要的偏差。在安全编码我的个人经验是: 1、规范执行。编码规范那么多,最终还是要落地执行,这时候需要做的工作就是将编码规范规则化,尽可能减少人员主动学习的成本,附加安全在线培训与考试的结合以便最大化的促进编码规范的落地。 2、自动化检测。 A)不管你是哪种开发流程,将源码扫描纳入到开发流水线当中是极其重要的一环。业内常见的源码扫描产品基本上就是fortify、checkmark、covertiy,国内也有一些公司也加入了源码扫描产品的开发和应用的行业比如360或者说源伞科技。通常来说这些源码扫描只是充当一个引擎的工作,需要将这些工具集成到贵公司的开发流程,比如常见的是Jenkins集成,所以当你在采购商业产品的时候就需要考虑到这一点。
B)如果你认为买了商业的产品基本上而已忽略代码自动化的工作就大错特错了,你会发现这只是万里长征的第一步,所有厂家的默认规则都会存在诸多的误报,这时候你就需要养一个代码审计人员来专门维护,不停的调优、调优、调优…… C)当然,如果没钱的公司还可以考虑开源的产品,这里首先推荐sonar里面的findsecbug插件,很多公司都会直接用sonar来检查代码的质量,findsecbug插件是无缝连接sonar产品,而且jenkins直接有插件可以和sonar进行对接,唯一的缺陷就是误报了网站安全代码,如果自己进行规则的定制就需要大量的人力和物力了。还有一些别的开源的产品比如cobra和sap公司出品的开源源码就检测(360、checkmark、fortify对比直接星球搜索) D)如果公司代码量不多,又没有专人负责这块,要不然就先不管这个吧,先把其他的工作做好就行了。这部分作为长期工作慢慢来做。
3、安全组件。 A)当你人员不足的时候就需要一些组件来减轻你的安全工作量了,比如安全框架的引入,spring security或者是owasp esapi。 B)针对开源和第三方组件的检测可以考虑OWASP Dependency-Check,专门针对不安全组件进行检测,避免使用了危险的组件。 C)梳理出不安全的函数库,在编码的时候自动检测调用的函数,拒绝使用危险函数。安全编码的关卡就是防止开发人员将不安全的因素嵌入到代码中去,但是安全编码规则是工作效率的拦路虎,所以这部分自动化流水线的维护是一件非常难做的事,当技术手段不能有效支撑业务发展的要求的时候建议你分步骤落实编码的自动化,比如先检测,不阻断;或者说规则先1条,后10条然后覆盖全规范;或者说先本地,后集成的方式一步一步落实成熟的条件去支撑编码安全自动化。 (编辑:晋中站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
