版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、构建安全的系统开发体系技术创新,变革未来我们面临的安全挑战开发过程中的安全问题如何构建安全开发体系开源代码安全现状及实例分析议程我们面临的安全挑战受攻击面增大复杂程度提高,安全缺陷增多我们使出洪荒之力,依然没有安全感FW渗透测试开发过程中的安全问题关注功能,忽略安全需求需求评审缺少安全的介入安全目标需求分析阶段认证问题授权问题依赖客户端检测关键数据保护措施会话管理第三方组件安全问题及卞阶段及卞缺陷导致的漏洞:明文存储密码及卞缺陷导致的漏洞:CSRF安全编码规范持续性检测差距分析修复跟踪开发阶段开发出来的漏洞:SQL注入开发出来的漏洞:XSS开发出来的漏洞: Do not synchronize
2、 on objectsthat may be reused/this bug was foundin jetty-6.1.3 BoundedThreadPool private final String lock = LOCK;public void doSomething() synchronized (lock) / . . .命令注入目录遍历资源释放空指针More更多关注功能、性能、稳定性测试缺少源代码缺陷检测缺少黑盒测试缺少业务安全性测试评审缺少第三方组件安全测试评审l试阶段缺少配置安全评审系统的额外服务、端口服务器默认用户、默认示例权限过高的默认账户部署阶段部署不当导致的漏洞:默认口
3、令部署不当导致的漏洞:App AllowBackup软件安全水平完好无损?SDK出现安全问题软件本身出现安全问题第三方组件产生安全漏洞运维阶段如何构建安全开发体系2000年,NASA的个系统安全评估项目开启了软件安全开发方法的序幕,其核心是在软件开发的每个关键点嵌入安全要素。AEGIS、微软的SDL、敏捷SDL、McGraw的BSI、OWASP的CLASP等软件安全开发模型先后出现。在软件安全开发模型基础上,出现了ISO27034、BSIMM、SAMM等软件安全开发标准。软件安全开发进化史基于企业目前的开发管理现状,制定合适的目标,不断演进、完善。软件安全开发体系构建1确立规则2多维检l5安全
4、培训3流程管理4漏洞晌应合规检测、溯源检测、 缺陷和漏洞检测定期开展安全培训安全目标、策略、编码 规范 融入流程,管理流程建立漏洞晌应体系1确立规则BCA企业现状分析现有开发流程软件特点及历史安 全现状安全开发与l试规范制定结合企业需求确定目标制定企业安全规范检l规则根据制定的规范定制检测 规则集2多维检l缺陷和漏洞检 测合规检测溯源检测3流程管理安全编码持续构建自动化检测漏洞修复4漏洞晌应5安全培训定期开展安全培训宣贯政策、提高意识、培养技能面向软件开发中的各种角色(架构师、产品经理、开发工程师、测试工程师等)开源代码安全现状及实例分析2010年,Gartner采访了来自11个国家的547位
5、公司负责人,在被调查的公司当中超过半采用了开源软件作为其IT战略的组成部分。2012年,Aspect Security和Sonatype公开的份调查报告显示,最受欢迎的31个 开源项目中,其不安全的版本被下载了超过4,600万次。2014 OpenSSL年曝光重大安全漏洞Heartbleed。攻击者通过构造异常的数据包进 行攻击,获取用户敏感信息。2014年和2015年ElasticSearch分别爆出远程任意命令执行漏洞。攻击者可利用远 程任意命令执行漏洞获取主机最高权限。近年来Struts2频繁爆发安全漏洞。影晌国内电商、银行、运营商等诸多大型网站 和为数众多的政府网站。开源代码安全现状开
6、源项目检l卞划开源项目检测计划()是由360代码卫士团队发起,针对开源项目进行的项公益安全检测计划,旨在让广大开发者关注和了解开源代码安全问题,提高 软件安全开发意识和技能。注:开源项目检测计划使用的检测工具是360自主研发的源代码检测引擎“代码卫士”。开源项目检l卞划十大Java严重缺陷统卞开源项目检l卞划20个流行项目开源项目检l卞划20个流行项目缺陷总数统卞开源项目检l卞划20个流行项目十大Java重要缺陷数量统 卞开源项目检l卞划缺陷数量Top 10项目开源项目检l卞划缺陷密度Top 10项目实例分析1某开源论坛项目XSS漏洞实例分析1某开源论坛项目XSS漏洞XSS实例分析1某开源论坛项目XSS漏洞实例分析2某开源流媒体解析工具包类型混淆漏洞实例分析2
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2025合资办学合同
- 2025办公用品的长期采购合作合同
- 农村社会实践报告范文
- 超市盘点分析报告范文
- 监理工作总结报告范文
- 课题申报书:高水平大学教学为主型岗位准入与动态转换机制研究
- 上海农林职业技术学院《针织服饰设计》2023-2024学年第一学期期末试卷
- 11葡萄沟 公开课一等奖创新教学设计
- 3《自己之歌》公开课一等奖创新教学设计统编版高中语文选择性必修中册
- 上海南湖职业技术学院《传递过程》2023-2024学年第一学期期末试卷
- 城乡历史文化保护传承体系综合管理平台方案
- 注塑拌料机操作规范
- 2024年4月全国自学考试高级财务会计真题试题及答案
- (正式版)SH∕T 3006-2024 石油化工控制室设计规范
- 工程劳务作业能力方案
- 2022年同等学力人员申请硕士学位公共管理学科综合水平
- 2023年新版医学心理学试题库
- 重庆市黔江区2022-2023学年七年级上学期期末考试数学试题
- 跨越式跳高教案1
- 年末讨薪警情分析
- 物流春节保障方案(2篇)
评论
0/150
提交评论