《軟件安全開發(fā)之痛》360代碼衛(wèi)士 韓建

復(fù)雜程度復(fù)雜程度提高，安全缺陷增多我們使出我們使出洪荒之力，依然沒有安全感關(guān)注功能，忽略安全需關(guān)注功能，忽略安全需求需求評(píng)審缺少安需求評(píng)審缺少安全的介入認(rèn)證問題認(rèn)證問題授授權(quán)問題依依賴客戶端檢測(cè)關(guān)關(guān)鍵數(shù)據(jù)保護(hù)措施會(huì)話管會(huì)話管理第第三方組件安全問題設(shè)計(jì)缺陷導(dǎo)致的漏設(shè)計(jì)缺陷導(dǎo)致的漏洞：明文存儲(chǔ)密碼thatmaybereusedthatmaybereused////thisbugwasfoundinjetty-6.1.3BoundedThreadPoolprivateprivatefinalStringlock="LOCK";publicpublicvoiddoSomething(){synchronized(lock){//...}}}}MoreMore……部部署不當(dāng)導(dǎo)致的漏洞：默認(rèn)口令pAAEGIS、微軟的SDL、敏捷SDL、McGrawAAEGIS、微軟的SDL、敏捷SDL、McGraw、SAMM等BSIMM、史的每個(gè)關(guān)鍵點(diǎn)嵌入安全要素。的的等軟件安全開發(fā)等軟件安全開發(fā)模型先后出現(xiàn)。全開發(fā)標(biāo)準(zhǔn)。2323發(fā)體系構(gòu)建基基于企業(yè)目前的開發(fā)管理現(xiàn)狀,制定合適的目標(biāo),不斷演進(jìn)、完善。554CA???CA?????維檢測(cè)測(cè)33流程管理44●●55安全培訓(xùn)面面向軟件開發(fā)中的各種角色(架構(gòu)師、產(chǎn)品經(jīng)理、開發(fā)工程師、測(cè)試工程師等)Gartner采訪了來自11個(gè)國(guó)家的547位公司負(fù)責(zé)人，在被調(diào)查的公司當(dāng)中AspectGartner采訪了來自11個(gè)國(guó)家的547位公司負(fù)責(zé)人，在被調(diào)查的公司當(dāng)中AspectSecurity和Sonatype公開的一份調(diào)查報(bào)告顯示，最受歡迎的31個(gè)超過一半采用了開源軟件作為超過一半采用了開源軟件作為其中，其不安全的版本被下載了超過4,600萬次。22014OpenSSL年瀑光重大安全漏洞Heartbleed。攻擊者通過構(gòu)造異常的數(shù)據(jù)包進(jìn)行攻擊，獲取用戶敏感信息。行攻擊，獲取用戶敏感信息。20142014年和2015年ElasticSearch分別爆出遠(yuǎn)程任意命令執(zhí)行漏洞。攻擊者可利用遠(yuǎn)近年來近年來Struts2頻繁爆發(fā)安全漏洞。影響國(guó)內(nèi)電商、銀行、運(yùn)營(yíng)商等諸多大型網(wǎng)站數(shù)眾多的政府網(wǎng)站。注：開源項(xiàng)目檢測(cè)計(jì)劃使用的檢測(cè)工具是自主研發(fā)的源代碼檢測(cè)引擎0“”。注：開源項(xiàng)目檢測(cè)計(jì)劃使用的檢測(cè)工具是自主研發(fā)的源代碼檢測(cè)引擎0“”。開源項(xiàng)目檢測(cè)計(jì)劃(開源項(xiàng)目檢測(cè)計(jì)劃()是由360代碼衛(wèi)士團(tuán)隊(duì)發(fā)起，針對(duì)開源項(xiàng)目進(jìn)行的進(jìn)行的一項(xiàng)公益安全檢測(cè)計(jì)劃，旨在讓廣大開發(fā)者關(guān)注和了解開