最近几年,数字化步伐加快,但网络安全问题日益突出,像Log4j高危漏洞这样的事件给业界造成了不小的损失。在这种形势下,网新软件推出了《安全开发规范》。
安全形势严峻
现在,政府和公共领域的数字化发展迅速,信息系统遭受黑客攻击的风险持续上升。例如,去年年底的Log4j高危漏洞,以及最近的远程执行代码漏洞(CVE – 2022 – 22965),几乎影响了全球大部分软件。据数据统计,这些漏洞导致不少企业遭遇数据泄露和业务中断等损失,网络安全问题亟待解决。
黑客攻击手段繁多,且不断进步,他们通过软件漏洞造成破坏,给行业发展带来了阴霾。不论是大企业还是小企业,都可能遭受攻击,这让众多从业者感到担忧。
规范发布背景
为了提高信息系统的安全保障水平,加强抵御黑客和不法分子侵袭的能力,网新软件的质量管理部门和研发部门携手合作,共同推出了《安全开发规范》。这一规范在网络安全问题日益突出的背景下发布,相关部门认识到,必须实施有效策略,确保软件开发过程的安全性。
本规范意在将安全标准和需求融入开发各阶段,从而增强开发团队的能力。目标清晰,旨在增强团队的安全开发技能和效率,为信息系统打造稳固的安全防线。
安全功能实现
从信息系统设计开发阶段着手,确立了六个安全关键点。在用户身份确认环节,信息系统需精准识别用户身份,并确保验证流程的安全性。以某项目为例,采用了多种身份验证方式,成功阻断了非法用户的入侵。
会话管理方面,必须确保追踪已验证用户会话的机制得到保护。此外,对输入输出数据和参数要实施严格审查和编码,以防恶意输入。例如,某电商系统通过数据审查,成功阻断了恶意脚本的入侵,确保了系统安全。
代码实现安全
《规范》对四个编程领域进行了详细规定。它要求面向对象编程时,类与对象的设计必须遵循安全准则,以减少漏洞的产生。具体到项目实施中,依照规范设计的类结构,可以有效地阻止数据遭受非法侵入。
程序在多线程中运行时,安全措施得以保障。确保函数调用正确无误,防止因调用错误引发安全问题。同时,有效的异常处理机制能在异常发生时妥善应对,防止系统出现故障。
资源使用安全
应用软件所依赖的资源都需要实施安全管理措施。比如,对于数据库资源,要确保每个数据库都有一个独一无二的标识码。在一个具体的项目中,借助这个标识码,可以迅速找到并管理数据库。
资源使用完毕或发生异常退出,必须妥善归还。同时,对资源的使用量、权限及有效期限进行控制,以避免资源浪费,确保系统更加稳定和安全。
环境使用安全
规范对第三方软件的安全应用做了详尽规定。必须定期执行安全检查,以防使用带有高风险漏洞的版本。举例来说,某公司就因使用了存在漏洞的第三方软件,遭受了系统攻击。
信息系统建设需打造安全的开发与生产环境,确保物理上相互隔离,仅授权团队可进入。这一规范已在网新软件的多个项目上实施,多个项目团队正通过不同方法持续增强其安全防护水平。
你认为《安全开发规范》在别的软件企业中推行,能否达到相似的成效?欢迎踊跃留言,同时别忘了点赞并转发这篇文章!
