发帖
雷达卡
安全代码编写规范
编写目的
为加强武汉楚烟信息技术有限公司
在软件开发中的安全
规范要求
,减少应用上线后带来潜在的安全风险,特拟定安全代码编写规范。
使用范围
本规范适用于
武汉楚烟信息技术有限公司承建的各类
开发类的软件类项目。
应用安全设计在总体架构设计阶段
,需明确与客户方沟通确认甲方对于软件安全的相关要求
,对于有明确安全要求的
(例如授权管理要求、用户认证要求、日志审计要求等)
,须在设计文档中予以详细说明
。对于互联网应用
,务必明确网络安全、
应用安全、数据安全相关的安全防护手段。
在技术架构上
,应采用表现层、服务层、持久层分类的
架构,实现对底层业务
逻辑进行有效隔离
,避免将底层实现细节暴露给最终用户
。在部署架构上
,应采用应用服务器
、数据库服务器的分离
部署模式
,在应用服务器被攻击时,不会导致核心应用数据的丢失。
如软件产品具备有条件时,应优先采用加密数据传输方式(例如
https
协议)。在外部接口设计方面
,应采用最小接口暴露的原则
,避免开发不必要的服务方法带来相关安全隐患
,同时对于第三方接口
,应共同商定第三方
接入的身份认证
方式和手段
。应用 ...
京公网安备 11010802022788号
