1.背景和需求
背景:
目前大部分企业的安全都存在问题,修复完了以后随着业务的变更又出现了新的问题,该怎么解决呢??? .....此处省略100字的介绍...
需求:
- 为了防止一些通用型,业务逻辑和严重的poc漏洞产生,需要从根源上入手提高业务代码的安全质量
- 防止随着业务的更新和迭代出现新,老问题
2.解决方案和实现方法, 周期[排期]
目前现状:代码管理仓库不统一:gitlab和gerrit
代码审计系统解决方案一:
采用旁路的方式进行代码安全审计,流程如下:
缺点:无法从流程上面截断,所以项目再流程上可直接绕过代码安全审计直接上线。
问题:无。
代码审计系统解决方案二:
使用流程截断的方式:采用jenkins配置gerrit+sonar和gitlab+sonar,具体流程如下:
缺点:gitlab无法截断流程
- 问题1:搭建jenkins配置gerrit+sonar和gitlab+sonar
- 问题2:推广jenkins使用和配置
- 问题3: 剔除掉其它规则,只留下安全的规则; 但sonar规则问题(维护,开发,审核,优化);
- 问题4:sonar用户操作权限设置, 存在绕过
- 问题5:不能确定代码审计的问题包含所有漏洞,且代码审计属于静态扫描会存在误报导致项目代码会延迟上线。
- 问题6:目前给公司带来的安全价值不大
实现方式:自建 or 购买 or 开源二次开发
周期:待定
3.选择策略[维度]
代码审计系统维度:
- 支持审计各种语言
- 支持批量审计
- ...
4.方案审核
开发,设计,前端都是自己;所以自己一遍过了! 哈哈
5.方案设计
6.方案实施
初期:...