/catalog/296695a3fdd74f71b4ced1996c9b6856//Document/380625301606469.html/Document/376028059926597.html/Document/374587749163077.html/Document/374252417724485.html/Document/373905092177989.html/Document/373540837523525.html/Document/373226847809605.html/Document/311601443917893.html/Document/311285189517381.html/Document/310134890274885.html/Document/309794452426821.html/Document/309507604934725.html/Document/304898482892869.html/Document/304549706600517.html/Document/304188584996933.html/Document/303818784497733.html/Document/302700517105733.html/Document/302416475320389.html/Document/302077848256581.html/Document/301288627347525.html/Document/300279638184005.html/Document/274792263872581.html/Document/273024381308997.html/Document/272683642789957.html/Document/272351623921733.html/Document/271961406242885.html/Document/271560844214341.html/Document/270477420015685.html/Document/269881559916613.html/catalog/c51244b85e704db9a2a34ca396e9fe27//Document/375674108960837.html/Document/340619525128261.html/Document/340263572500549.html/Document/337103780888645.html/Document/336726028042309.html/Document/336395351863365.html/Document/336019384291397.html/Document/334605603291205.html/Document/334264344903749.html/Document/333908786077765.html/Document/333537608929349.html/Document/332422937043013.html/Document/323979240091717.html/Document/323624591507525.html/Document/322518056206405.html/Document/322224629981253.html/Document/321870777405509.html/Document/321154810175557.html/Document/319738524639301.html/Document/319395521761349.html/Document/319038449188933.html/Document/318684198744133.html/Document/317575537291333.html/Document/316584392339525.html/Document/297463116619845.html/Document/296410729726021.html/Document/294281412902981.html/Document/289614801383493.html/Document/289336711553093.html/Document/288989717336133.html/Document/267736666357829.html

安全测试国家标准解读——环境安全

下面的系列文章主要围绕《GB/T 38674—2020 信息安全技术 应用软件安全编程指南》进行讲解。对该标准中一些常见的漏洞进行了梳理,大家感兴趣的话可以自己去下载下来学习一下,里面有一些最佳实践是比较好的。

 

本标准从程序安全和环境安全两个方面提出了提升应用安全性的编程最佳实践。其中,程序安全部分描述软件在资源使用、代码实现、安全功能方面的安全性规范,环境安全部分描述软件的安全管理配置规范。前面的文章为大家讲解了程序安全和代码安全,本文我们继续问大家讲解环境安全。

软件安全测试

环境安全这部分主要包含:第三方软件使用安全  、开发环境安全 、运行环境安全这三部分。这个也是我们在系统设计的环节就要考虑好这些问题。


在系统的设计过程中,我们会用到哪些第三方的软件,这些软件我们要用哪一个版本,哪个版本是安全的,我们的开发环境怎么配置,运行环境怎么来配置,都要提前做好规划。防止不同的人员,用不同的环境、不同的版本造成的安全问题。


【第三方软件使用安全】

软件安全检测

针对第三方软件也要进行代码的安全审计,因为第三方的软件也不一定是安全的。

【开发环境安全】

软件代码安全

开发环境这部分强调要使用统一的官方编译器,确保安装了所有的补丁。还要去掉调试开关,这个也非常重要,很多黑客的攻击就是通过调试开关这里进入的。
另外就是源代码的安全管理,怎么保护源代码不被非法访问,以及开发环境与实际物理环境进行隔离。


【运行环境安全】

软件web安全

应用软件发布前去除所有与调试和测试相关的代码、配置、文件等。这一条是我们在代码审计中经常发现的问题。
很多开发人员非常不注意,测试代码和开发代码不是那么明确,上线的时候也不把测试代码去掉,很多测试代码就跟着上线了,就会暴露一些敏感信息。


像前面举的携程的例子,就是它的调试信息被获取到了,这个问题虽然不是一个大问题,可能我们开发各个方面都很注意,开发能力也非常强,但是在这些环节如果不注意的话就会产生非常大的风险。这一块如果开发人员没有时间和精力去做的话,可以让测试人员来帮忙测试。


安全配置信息只能是只读的,对重要的配置信息进行安全防护,像一些配置文件,如果明文放到一些不安全的路径下面,就很容易被黑客获取到。

如果应用软件部署在客户端,例如移动APP,宜使用混淆、签名、加固等措施防止逆向获取源代码。现在移动应用上线前也会针对这部分进行检查,必须要做一定的处理。


软件安全中,环境安全这部分往往是开发人员特别不注意的地方,而这些地方一旦出现问题都是一些比较大的问题,大家多去了解一下,在开发过程中多去规避这些问题。

以上就是我们对软件安全开发国家标准的解读,这个标准的内容是比较多的,里面也有很多最佳实践,大家可以去看一下。