1.背景和需求

背景:

目前大部分企业的安全都存在问题,修复完了以后随着业务的变更又出现了新的问题,该怎么解决呢??? .....此处省略100字的介绍...

需求:

  • 为了防止一些通用型,业务逻辑和严重的poc漏洞产生,需要从根源上入手提高业务代码的安全质量
  • 防止随着业务的更新和迭代出现新,老问题

2.解决方案和实现方法, 周期[排期]

目前现状:代码管理仓库不统一:gitlab和gerrit

代码审计系统解决方案一:

采用旁路的方式进行代码安全审计,流程如下:

缺点:无法从流程上面截断,所以项目再流程上可直接绕过代码安全审计直接上线。

问题:无。

代码审计系统解决方案二:

使用流程截断的方式:采用jenkins配置gerrit+sonar和gitlab+sonar,具体流程如下:

缺点:gitlab无法截断流程

  • 问题1:搭建jenkins配置gerrit+sonar和gitlab+sonar
  • 问题2:推广jenkins使用和配置
  • 问题3: 剔除掉其它规则,只留下安全的规则; 但sonar规则问题(维护,开发,审核,优化);
  • 问题4:sonar用户操作权限设置, 存在绕过
  • 问题5:不能确定代码审计的问题包含所有漏洞,且代码审计属于静态扫描会存在误报导致项目代码会延迟上线。
  • 问题6:目前给公司带来的安全价值不大

实现方式:自建 or 购买 or 开源二次开发

周期:待定

3.选择策略[维度]

代码审计系统维度:

  • 支持审计各种语言
  • 支持批量审计
  • ...

4.方案审核

开发,设计,前端都是自己;所以自己一遍过了! 哈哈

5.方案设计

6.方案实施

初期:...

SDL[代码审计方案]相关推荐

  1. SDL[扫描器方案]

    1.背景和需求 背景: 目前国内和国外大部分企业在安全上都存在一些问题,其中主要体现在对外展示和业务方法的web站点上:...一大堆的介绍省略 ... 需求: 想做一个符合公司扫描测试需求又能自己玩的 ...

  2. Tesseract-OCR 图片数字识别的样本训练

    最近想利用python写一段识别穿越火线交易所各种道具价格的代码.命令行执行: tesseract.exe grab.jpg result -l eng 使用默认的Tesseract语言库总会识别成字 ...

  3. java set%3c %3e哈希,敏捷开发实施方案.PPT

    敏捷开发实施方案 /person.do?xcase=updateEmail&coreLogonInfo.emailAddress=flyh4t%40126.com&coreLogonI ...

  4. 微软SDL流程终极整理总结

    目录 微软软件安全开发流程(SDL) 一.微软SDL(Security Development Lifecycle)流程框架 二.主要步骤 1.安全培训Training 1.1 Core Securi ...

  5. 论企业如何快速建立SDL流程

    https://www.freebuf.com/articles/es/220410.html 前言 今年很多比较大的互联网公司开始试行SDL落地,但是由于相关资料文档有限,导致落地困难,今天这篇文章 ...

  6. 安全开发流程(SDL)

    目录 0x01 SDL介绍 0x02 SDL流程框架 0x03 SDL实战经验 0x04 总结 0x01 SDL介绍 安全开发生命周期(SDL)即Security Development Lifecy ...

  7. 【网络安全】JAVA代码审计—— XXE外部实体注入

    一.WEB安全部分 想要了解XXE,在那之前需要了解XML的相关基础 二.XML基础 2.1 XML语法 所有的XML元素都必须有一个关闭标签 XML标签对大小写敏感 XML必须正确嵌套 XML 文档 ...

  8. php敏感字符串过滤_PHP代码审计入门:常见的危险函数和审计点

    01什么是危险函数 函数设计出来就是让人使用的,之所以危险,是因为其功能过于强大.开发人员特别是刚从业的人员很少会完整阅读完整个文档,再或者是没有意识到当给这些函数传递一些非常规的,外部可控的参数会带 ...

  9. 渗透测试之通过代码审计打点

    文章来源: 酒仙桥六号部队 前言 代码审计(Code Audit)顾名思义就是通过阅读源代码,从中找出程序源代码中存在的 缺陷或安全隐患,提前发现并解决风险,这在甲方的SDL建设中是很重要的一环.而在 ...

最新文章

  1. neo4j安装_SpringBoot使用Neo4j
  2. 近期活动盘点:俞士纶见面会、2018未来医疗100强论坛、清华校友三创论坛、2018年中国数字政府论坛(12.18-12.21)...
  3. Android--调用内置的浏览器
  4. 【深度学习】手把手教你实现一个人工智能案例(蓄电池爬碱识别)
  5. 我们还有一些话想和你说
  6. 第十三期:消灭 Java 代码的“坏味道”
  7. php获取站点的根目录和站点的根URL
  8. java month_java11教程--类Month用法
  9. 27了,还应该再淡定么
  10. 二十四节气插画素材,每一张都带你如感
  11. Sql Server系列:开发存储过程
  12. 信息系统项目管理:如何制定项目章程?
  13. 签约新闻 | 出版发行行业又一位老牌企业的数字化转型,扬帆起航!
  14. Minecraft 1.19.2 Forge模组开发 07.拼图建筑(jigsaw)
  15. 2021-04-14
  16. 5G/NR学习笔记:3GPP 38.211- Carrier Bandwith Part, BWP-载波带宽部分
  17. 基于DTMF技术与射频技术的远程控制的实现
  18. Service ‘Jenkins‘ (Jenkins) failed to start. verify that you have sufficient privileges to start
  19. Sigrok逻辑分析仪软件(基于CY7C68013A)
  20. NASA计划2069年发射飞船至半人马座阿尔法星

热门文章

  1. maven找不到,变小蜘蛛问题
  2. COJ 0580 4021征兵方案
  3. 基于Redis的分布式限流器Java实现
  4. python 支持erp自动化操作
  5. 等待是一个过程,每一种坚守都是幸福
  6. Littlefs移植,FLASH用的是W25Q32
  7. Css的字体样式属性大全
  8. 基于linux2.6.30.4内核的DM9000网卡驱动编译成模块成功ping通
  9. 潘金莲——中国女性解放思想的先驱《其实我的心没走》
  10. HTML实现A4模板