现在各个公司都开始重视安全,不仅仅是因为国家开始重视安全,而是安全漏洞一旦暴露,被有心之人发现进行破坏,损失将无法估量;比如:前端时间拼多多优惠券事件…
安全测试是一项比较重要的测试项,但是在测试之前,安全规范之类也应该有所了解,今天来说说上线安全检查规范:
- 在业务系统发布或在版本迭代中存在的安全隐患,在系统提测环节和发布环节应该引入安全红线原则,这样减少编码不规范、使用存在漏洞的依赖或组件的情况,从而降低系统被入侵、数据泄漏、内容篡改等安全风险,保证系统发布后稳定运行。
- 所有开放公网服务的业务系统在上线前均应开展安全红线检查。
- 安全红线检查涉及到源代码质量检查、依赖库漏洞检查、基础镜像漏洞检查以及服务运行时自动扫描加人工逻辑安全检查。
- 系统中若存在高危漏洞,安全组应通知研发人员,修复高危漏洞,漏洞修复完成,由安全人员复测检查通过后,方可上线。
- 系统若存在高危漏洞,系统又必须在指定时间上线,系统开发人员应找安全人员,进行临时修复操作,降低攻击面。带问题的系统上线后,安全人员应紧密监控系统情况,及时发现异常并实施处理。开发人员应在下一个版本迭代中修复高危漏洞。
- 系统重要功能模块开发完成后,测试人员在对功能开展测试完成后,由安全人员开展安全测试。安全测试的内容包括但不限于:源代码审计、渗透测试、代码扫描、系统组件配置核查、漏洞扫描等内容。
- 对于具有重要业务功能的模块,系统上线前,至少应执行源代码审计及渗透测试。
