軟件安全開發(fā)規(guī)范與要求

軟件安全開發(fā)規(guī)范與要求1.安全培訓(xùn)開發(fā)人員必須參加『應(yīng)用安全新人入職培訓(xùn)』，統(tǒng)一由百技團隊提供開發(fā)人員在接觸項目開發(fā)前必須完成『應(yīng)用安全開發(fā)測試培訓(xùn)與考核』與『安全意識培訓(xùn)與考試』系列課程，該培訓(xùn)和考核由集團安全培訓(xùn)統(tǒng)一推送開發(fā)人員必須每年周期參加并完成『應(yīng)用安全開發(fā)開發(fā)測試培訓(xùn)與考核』與『安全意識培訓(xùn)與考試』系列課程，該培訓(xùn)和考核由集團安全培訓(xùn)統(tǒng)一推送當(dāng)業(yè)務(wù)出現(xiàn)漏洞時，開發(fā)人員與團隊成員必須完成漏洞對應(yīng)『漏洞原理與修復(fù)方案培訓(xùn)與考核』，該培訓(xùn)和考核由集團安全培訓(xùn)統(tǒng)一推送2.安全評審BU級別及以上重大項目/業(yè)務(wù)立項時，必須線下與安全人員進(jìn)行溝通，預(yù)約『安全架構(gòu)評審』與『安全需分評審』。并完成安全風(fēng)險確認(rèn)與修復(fù)方能上線普通項目/業(yè)務(wù)立項時，必須完成線上自動化『安全架構(gòu)評審』與『安全需分評審』，并完成安全風(fēng)險修復(fù)方能上線所有業(yè)務(wù)在迭代過程中，當(dāng)有重大功能待開發(fā)時，必須先完成線上自動化『安全需分評審』，并按照安全建議進(jìn)行開發(fā)，確保沒有安全問題才能發(fā)布3.安全測試所有業(yè)務(wù)在上線前必須完成STC自動化安全測試，確保沒有『嚴(yán)重/高?！宦┒?，以及『卡發(fā)布』漏洞，方能發(fā)布上線所有業(yè)務(wù)在上線前，建議使用Vulhunter完成半自動化黑盒安全測試，確保掃描出的漏洞均修復(fù)完成或確認(rèn)誤報4.安全發(fā)布所有業(yè)務(wù)在代碼變更發(fā)布前必須遵循該BU安全同學(xué)制定的安全發(fā)布策略『比如STC掃描，人工審核』，確認(rèn)所有check項均被完成后才能發(fā)布變更所有業(yè)務(wù)在網(wǎng)絡(luò)變更發(fā)布前必須遵循該BU安全同學(xué)制定的安全發(fā)布策略『比如安全評審，架構(gòu)評審，黑白盒掃描』，確認(rèn)所有check項均被完成后才能發(fā)布變更5.漏洞修復(fù)所有業(yè)務(wù)漏洞修復(fù)，需要在規(guī)定時間內(nèi)完成修復(fù)『S0:24小時，S1:3天，S2:1周，S3:半個月,S4:1個月』高危/嚴(yán)重漏洞，需要及時進(jìn)行影響面評估，確保不對業(yè)務(wù)造成更大風(fēng)險6.應(yīng)急響應(yīng)當(dāng)出現(xiàn)業(yè)務(wù)漏洞/通用組件漏洞應(yīng)急響應(yīng)時，業(yè)務(wù)同學(xué)需要及時配合安全同學(xué)工作，及時完成應(yīng)急止血措施，以及漏洞修復(fù)措施。業(yè)務(wù)