跳转至

04.代码编写

作者:tinker

协作:


1.编写《企业安全编码规范》

根据公司所使用技术栈的不同,进行编码规范设计。

2.制度流程建设

建立完善的代码测试、反馈、上线流程。对开发人员代码质量问题、代码安全问题进行考核。

参考:代码提交-代码审计-反馈问题-修复问题-测试环境部署

建立漏洞处理流程,对开发人员漏洞修复效率进行考核。

参考:安全人员提交漏洞-开发人员知悉漏洞-开发人员开始修复漏洞-开发人员修复完成漏洞-安全人员复测漏洞-安全人员复测完成或者复测不通过漏洞。

3.白盒审计工具推荐

使用工具将《企业安全编码规范》进行落地。

1.sonar(开源)

基于可定制规则进行静态代码扫描,从而帮助开发人员能够编写更清晰,更安全的代码。

优点:

1.开源~开源~开源~
2.可定制规则(需要一定技术实力进行开发)
3.支持CI/CD过程集成
4.支持Code Review阶段反馈
5.目前官方给出了超过25种语言的支持

缺点:

1.不支持代码动态分析

相关链接:

https://www.sonarqube.org/
https://github.com/SonarSource/sonarqube