代码审计(二)
一、DevSecOps的概念
DevSecOps 是描述开发、安全和运营集成的术语。它是一种文化、自动化和平台设计策略,强调安全是整个 IT 生命周期中的共同责任。
它是将应用程序和基础架构安全性无缝地结合到敏捷和DevOps 流程和工具中。从而在一定程度上保证了及时性(当出现漏洞时可以更加快速、准确的进行安全测试)
二、最佳DevSecOps实践
(1)发展 DevSecOps 文化。
(2)左移。
(3)安全培训。
(4)文化。
(5)可审计性、可见性和可追溯性。
(6)自动化至关重要。
(7)需要在部署前进行审计。
(8)部署后审计至关重要。
(9)扫描外部漏洞。
三、DevSecOps优势
(1)快速、经济有效的软件交付。
(2)改进的主动安全性。
(3)加速安全漏洞修补。
(4)与现代开发相适应的自动化。
(5)可重复、自适应的过程。
四、DevSecOps的安全工具
简述:开发者工具中有很多工具,可以用来帮助创建没有错误和漏洞的代码的。
1.SAST工具:
此工具是一个实用性较强的工具,在一定程度上具有高度的扩展性,它能够自动扫描代码,以便于可以更好的查明其他软件可能存在的漏洞。
2.DAST工具
此工具是深入研究软件应用程序的编码,并且能够实时分析执行逻辑和实时数据。此工具具有更加全面的方法,在应用程序运行时进行分析。
SAST和DAST可以协同工作,从而可以在一定程度上保证产品的安全。
3.容器扫描:
容器扫描至少应确认软件供应链已启动并运行,并且开发团队的容器基础设施已经正确配置和保护。
最好的容器扫描工具将容器组件与它们正在扩展的新漏洞数据库进行比较。
它们还应该为开发团队提供报告、影响分析和已发现的任何许可问题或漏洞的图表。
五、JAVA的安全编程规范
设计开发必须符合概要设计及防护方案。
上线代码必须进行严格的安全测试并进行软著备案。
严格限制账号访问权限。
提供完备的安全审计功能。
采取有效措施保证认证安全。
保证代码简介、注释明确。
使用安全函数和安全规范验证所有外部输入。
必须过滤上传文件。
确保多线程编程的安全性。
设计错误、异常处理机制。
数据库操作使用参数化请求方式。
禁止在源代码中写入口令、服务器IP等敏感信息。
为所有敏感信息采用加密传输。
使用可信的密码算法。
禁止在日志、表单、cookie等文件中记录口令、银行账号、通信内容等敏感数据。
禁止高风险的服务及协议。
避免异常信息泄露。
严格会话管理。
六、PHP的安全编程规范
命名规范:
在PHP编码中,命名的规范是十分重要的,它可以提高代码的可读性和可维护性:
变量名:小写字母、并且使用下划线分隔单词。
类名:大写字母开头,并且使用驼峰命名法。
函数名:小写字母,并且使用下划线分隔单词。
注释规范:
注释是一个十分有用的工具,可以帮助其他开发人员理解该行代码的目的和功能。
缩进规范:
缩进规范可以提高代码的可读性以及可维护性。
安全规范:
安全规范是一种十分重要的因素,能够保证安全性。
性能规范:
保证性能规范可以在一定程度,提高性能。
七、Python的安全编程规范
普通变量命名:小写字母,字母之间用_分割。
全局变量名:大写字母,单词之间用_分割。
类成员变量:以_开头。
私有实例变量:以_开头。
类名:单词首字母大写。
包名:小写字母,字母之间用_分割。
模块名:小写字母,字母之间用_分割。
文件名:全小写,使用下划线。