近年来,随着政府与社会数字化进程的快速推进,信息系统遭受黑客攻击所产生的网络安全隐患日趋严峻,例如去年年末爆发的 Log4j 高危漏洞以及近期出现的 Spring Framework 远程执行代码 (CVE-2022-22965),几乎影响了全球绝大多数软件,给行业带来巨大损失。在不同开发模式下融合安全规范和能力,构建高效、安全的软件开发体系,势在必行。
为提升信息系统的安全性能,增强应对黑客以及不法分子攻击的能力,澳门新葡萄新京旗下子公司澳门新葡萄新京软件质量管理部连同研发中心共同发布并宣贯《安全开发规范》,旨在通过在各阶段开发过程中融入安全规则与要求,赋能开发团队,提高安全开发能力及效率,构筑安全屏障。
01
安全功能实现
以信息系统的设计开发过程为着手点,从输入验证、输出净化、敏感数据加密与保护、访问控制、会话管理、日志安全等6个安全技术点进行全面阐述,要求信息系统必须通过身份鉴别来识别用户,并确保验证过程是安全的,保护用于跟踪已验证用户的会话处理机制,同时要求对输入及输出的数据和参数进行校验和编码,防止恶意输入。此外,还要考虑敏感数据的保护和用户的权限管理,以及所有操作的日志安全。 02 代码实现安全 《规范》中涵盖了“面向对象程序安全、并发程序安全、函数调用安全、异常处理安全”4个方面的编程规范,来保障代码的安全性。 03 资源使用安全 应用程序中所使用的各种资源,包括数据库、文件、网络等,都必须要进行安全管理,保证系统中的每个资源具有唯一的标识符。在完成使用或者使用中途出现错误异常退出时,能正确地释放所用的资源,对分配的资源数量、使用权限、有效时间等做限制,防止消耗过多资源。 04 环境使用安全 《规范》详细框定了如何安全地选择、下载、使用第三方软件,强调定期安全检测,以避免使用存在高危漏洞的版本;明确在信息系统建设过程中,需要构建安全的开发环境及生产环境,确保物理隔离,只提供给授权的开发和测试团队访问等限定条件。 目前,《规范》已在澳门新葡萄新京软件多地项目中开展落地实践,助力加快系统安全上线,实现业务与安全的融合。各地项目组通过培训、实操、自评、专家评审等手段,逐步提升开发过程安全能力。澳门新葡萄新京软件将持续致力于建设软件安全保障体系,围绕信息系统的生命周期,实现纵深防御,保障客户的业务和数据安全,让安全真正创造效益。