04.代码编写
作者:tinker
协作:
1.编写《企业安全编码规范》
根据公司所使用技术栈的不同,进行编码规范设计。
2.制度流程建设
建立完善的代码测试、反馈、上线流程。对开发人员代码质量问题、代码安全问题进行考核。
参考:代码提交-代码审计-反馈问题-修复问题-测试环境部署
建立漏洞处理流程,对开发人员漏洞修复效率进行考核。
参考:安全人员提交漏洞-开发人员知悉漏洞-开发人员开始修复漏洞-开发人员修复完成漏洞-安全人员复测漏洞-安全人员复测完成或者复测不通过漏洞。
3.白盒审计工具推荐
使用工具将《企业安全编码规范》进行落地。
1.sonar(开源)
基于可定制规则进行静态代码扫描,从而帮助开发人员能够编写更清晰,更安全的代码。
优点:
1.开源~开源~开源~
2.可定制规则(需要一定技术实力进行开发)
3.支持CI/CD过程集成
4.支持Code Review阶段反馈
5.目前官方给出了超过25种语言的支持
缺点:
1.不支持代码动态分析
相关链接:
https://www.sonarqube.org/
https://github.com/SonarSource/sonarqube