《软件安全开发规范与要求.docx》由会员分享,可在线阅读,更多相关《软件安全开发规范与要求.docx(3页珍藏版)》请在优知文库上搜索。
1、软件安全开发规范与要求1 .安全培训.开发人员必须参加r应用安全新人入职培训,统一由百技团队提供开发人员在接触项目开发前必须完成r应用安全开发测试培训与考核J与安全意识培训与考试系列课程,该培训和考核由集团安全培训统一推送.开发人员必须每年周期参加并完成应用安全开发开发测试培训与考核与安全意识培训与考试系列课程,该培训和考核由集团安全培训统一推送.当业务出现漏洞时,开发人员与团队成员必须完成漏洞对应r漏洞原理与修复方案培训与考核,该培训和考核由集团安全培训统一推送2 .安全评审.BU级别及以上重大项目/业务立项时,必须线下与安全人员进行沟通,预约r安全架构评审与r安全需分评审。并完成安全风险确
2、认与修复方能上线.普通项目/业务立项时,必须完成线上自动化安全架构评审与安全需分评审,并完成安全风险修复方能上线所有业务在迭代过程中,当有重大功能待开发时,必须先完成线上自动化r安全需分评审,并按照安全建议进行开发,确保没有安全问题才能发布3 .安全测试.所有业务在上线前必须完成STC自动化安全测试,确保没有r严重/高危漏洞,以及卡发布漏洞,方能发布上线所有业务在上线前,建议使用Vulhunter完成半自动化黑盒安全测试,确保扫描出的漏洞均修复完成或确认误报4 .安全发布所有业务在代码变更发布前必须遵循该BU安全同学制定的安全发布策略比如STC扫描,人工审核,确认所有check项均被完成后才能发布变更.所有业务在网络变更发布前必须遵循该BU安全同学制定的安全发布策略r比如安全评审,架构评审,黑白盒扫描,确认所有CheCk项均被完成后才能发布变更5 .漏洞修复.所有业务漏洞修复,需要在规定时间内完成修复fS0:24小时,Sl:3天,S2:1周,S3:半个月,S4:1个月.高危/严重漏洞,需要及时进行影响而评估,确保不对业务造成更大风险6 .应急响应 当出现业务漏洞/通用组件漏洞应急响应时,业务同学需要及时配合安全同学工作,及时完成应急止血措施,以及漏洞修复措施。 业务同学需要对外部业务漏洞应急响应,及时(2小时内)进行影响而评估,确保部队业务造成更大风险