安全需求及设计
实现方案:
• 认证安全设计解决方案
• 权限安全设计解决方案
• 关键操作安全设计方案:
• 支付操作
• 密码重置操作
解决的问题:
• 统一解决方案,解决一处漏,处处漏问题
• 解决了前期架构缺陷,导致后期修复成本过大,无限延期问题
• 专业化的安全设计,规避常见的逻辑缺陷
安全开发
实现方案:
• 梳理语言及框架的安全缺陷
• 语言特性引起的问题
• 框架缺陷
• 统一的安全封装代码库
• 静态代码分析工具
• 自研代码分析工具
• 商业产品的使用
解决问题:
• 自动化的代码安全转换,提升研发安全质量
• 安全的代码库,保证模块防护的正确性
• 研发过程中的代码安全检查,避免上线后才发现问题
安全测试
•实现方案
•黑盒安全扫描系统进行检测
•安全自动化扫描平台
•浏览器扩展
•白盒代码安全审计
•应用程序漏洞审核技术
•解决问题
•上线前的全面体检
•覆盖应用层的安全问题
•针对基础环境的基本梳理测试
安全上线
•实现方案:
•安全评估面
•基础环境的安全评估
•应用层的安全评估
•信息管理层面的安全评估
•安全评估CheckList的推出
解决问题
• 完全模拟黑客,提前发现黑客可能的攻击路径,并进行防御
安全培训
•实现方案:
•代码安全管理
•研发人员信息安全管理
•安全编码规范推行
•服务器配置安全规范培训
• 解决的问题:
• 建立项目人员信息安全意识
• 安全编码规范实施,提升研发同学的编码安全性
• 安全规范实施文档,解决了运维同学部署的安全知识欠缺问题。