

04.代码编写

作者：tinker

协作：

---

1.编写《企业安全编码规范》

根据公司所使用技术栈的不同，进行编码规范设计。

2.制度流程建设

建立完善的代码测试、反馈、上线流程。对开发人员代码质量问题、代码安全问题进行考核。

参考：代码提交-代码审计-反馈问题-修复问题-测试环境部署

建立漏洞处理流程，对开发人员漏洞修复效率进行考核。

参考：安全人员提交漏洞-开发人员知悉漏洞-开发人员开始修复漏洞-开发人员修复完成漏洞-安全人员复测漏洞-安全人员复测完成或者复测不通过漏洞。

3.白盒审计工具推荐

使用工具将《企业安全编码规范》进行落地。

1.sonar（开源）

基于可定制规则进行静态代码扫描，从而帮助开发人员能够编写更清晰，更安全的代码。

优点：

1.开源~开源~开源~
2.可定制规则（需要一定技术实力进行开发）
3.支持CI/CD过程集成
4.支持Code Review阶段反馈
5.目前官方给出了超过25种语言的支持

缺点：

1.不支持代码动态分析

相关链接：

https://www.sonarqube.org/
https://github.com/SonarSource/sonarqube