安全代碼編寫規(guī)范資料

1、百馬出行公司安全代碼編寫規(guī)范編號:密級：內(nèi)部編制：年月日審核：年月日批準(zhǔn)：年月日發(fā)布日期：年月日實施日期：年月日分發(fā)人：分發(fā)號：受控狀態(tài)：受控口非受控版本及修訂歷史版本修訂人審核人批準(zhǔn)人生效日期備注V1.0劉鵬何清熊小蘋2018-06-29新建編寫目的為加強(qiáng)百馬出行公司在軟件開發(fā)中的安全規(guī)范要求，減少應(yīng)用上線后帶來潛在的安全風(fēng)險，特擬定安全代碼編寫規(guī)范。使用范圍本規(guī)范適用于百馬出行公司的軟件開發(fā)類項目。應(yīng)用安全設(shè)計在總體架構(gòu)設(shè)計階段，需明確與軟件使用部門對于軟件安全的相關(guān)要求， 對于有明確安全要求的 （例如授權(quán)管理要求、 用戶認(rèn)證要求、日志審計要求等） ， 須在設(shè)計文檔中予以詳細(xì)說明。 對于互

2、聯(lián)網(wǎng)應(yīng)用，務(wù)必明確網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全相關(guān)的安全防護(hù)手段。在技術(shù)架構(gòu)上，應(yīng)采用表現(xiàn)層、服務(wù)層、持久層分類的架構(gòu)，實現(xiàn)對底層業(yè)務(wù)邏輯進(jìn)行有效隔離， 避免將底層實現(xiàn)細(xì)節(jié)暴露給最終用戶。在部署架構(gòu)上，應(yīng)采用應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器的分離部署模式，在應(yīng)用服務(wù)器被攻擊時，不會導(dǎo)致核心應(yīng)用數(shù)據(jù)的丟失。如軟件產(chǎn)品具備有條件時， 應(yīng)優(yōu)先采用加密數(shù)據(jù)傳輸方式 （例如 https 協(xié)議）在外部接口設(shè)計方面，應(yīng)采用最小接口暴露的原則，避免開發(fā)不應(yīng)共同商必要的服務(wù)方法帶來相關(guān)安全隱患，應(yīng)共同商定第三方接入的身份認(rèn)證方式和手段。應(yīng)用安全編碼輸入驗證對于用戶輸入項進(jìn)行數(shù)據(jù)驗證， 除常見的數(shù)據(jù)格式、 數(shù)據(jù)長度外，還

3、需要對特殊的危險字符進(jìn)行處理。特殊字符包括 % （ ） & + 等。對于核心業(yè)務(wù)功能，除在客戶端或瀏覽器進(jìn)行數(shù)據(jù)驗證外，還必須在服務(wù)器端對數(shù)據(jù)進(jìn)行合法性檢驗， 規(guī)避用戶跳過客戶端校驗， 直接將不合規(guī)的數(shù)據(jù)保存到應(yīng)用中。對于瀏覽器重定向地址的數(shù)據(jù)，需要進(jìn)行驗證核實，確認(rèn)重定向地址是否在可信，并且需要對換行符（r或n）進(jìn)行移除或者替換。數(shù)據(jù)輸出對需要輸出到用戶瀏覽器的任何由用戶創(chuàng)造的內(nèi)容，應(yīng)在輸出到瀏覽器之前或持久化存儲之前進(jìn)行轉(zhuǎn)義（至少對轉(zhuǎn)義為） 以防止跨站攻擊腳本（XSS）對于無法規(guī)避的HTML片段提交，需對、標(biāo)簽進(jìn)行檢查處理，避免應(yīng)用被掛馬的可能性。在程序 中應(yīng)盡量規(guī)避 SQL 的 拼接處理

4、 ， 優(yōu)先推薦使用iBatis/MyBaits 框架，其次推薦使用 SQL 的參數(shù)化查詢方法，在無法避免使用SQL拼接時，因?qū)QL參數(shù)值進(jìn)行編碼處理（至少對單引號進(jìn)行編碼） 。會話管理不要在URL錯誤信息或日志中暴露會話標(biāo)識符。會話標(biāo)識符應(yīng)當(dāng)只出現(xiàn)在HTTP cooki戰(zhàn)信息中。比如，不要將會話標(biāo)識符以GET參數(shù)進(jìn)行傳遞。將 cookie 設(shè)置為 HttpOnly 屬性， 除非在應(yīng)用程序中明確要求了客戶端腳本程序讀取或者設(shè)置cookie 的值。從Cookie或者Session中獲取之前保存的數(shù)據(jù)進(jìn)行應(yīng)用時，須增加必要的數(shù)據(jù)檢驗。對于敏感的業(yè)務(wù)操作，通過在每個請求或每個會話中使用強(qiáng)隨機(jī)令牌或參

5、數(shù)，為高度敏感或關(guān)鍵的操作提供標(biāo)準(zhǔn)的會話管理。訪問控制應(yīng)用必須具備授權(quán)訪問控制功能，能夠限制在最小的范圍內(nèi)使用系統(tǒng)功能。同時限制只有授權(quán)的用戶可以訪問受保護(hù)的URL。文件管理在文件上傳處理中，應(yīng)限制符合要求格式的文件，盡量避免用戶直接上傳可執(zhí)行文件或在服務(wù)器端限制可執(zhí)行文件的執(zhí)行權(quán)限。在文件下載時，應(yīng)規(guī)避直接列舉服務(wù)器上的文件，同時規(guī)避將服務(wù)器端的路徑作為參數(shù)進(jìn)行傳遞，避免用戶非法獲取服務(wù)器端文件。數(shù)據(jù)加密原則上在程序代碼中不能直接寫入用戶和密碼，對于無法規(guī)避的情況，應(yīng)當(dāng)對使用的用戶名、密碼進(jìn)行加解密處理，在程序中使用加密后的內(nèi)容。錯誤處理不要在錯誤響應(yīng)時將服務(wù)器的信息暴露給最終用戶，例如：服務(wù)器的 IP 地址、操作系統(tǒng)的類型和版本、會話標(biāo)識符、賬號信息等，從而避免增加服務(wù)端被黑客攻擊的可能性。在錯誤處理時，因在后臺統(tǒng)一進(jìn)行日志記錄，避免顯示調(diào)試或堆 棧跟蹤信息，建議使用通用的錯誤消息并使用定制的錯誤頁面。其它通用規(guī)范審核應(yīng)用使用的第三方開發(fā)框架、第三方代碼或類庫文件，以確定業(yè)務(wù)的需要，并驗證功能的安全性，避免產(chǎn)