今天，為大家推薦一位CISAW安全軟件方向持證人員，來(lái)自福建省海峽信息技術(shù)有限公司的李建振同學(xué)，以下是他的學(xué)習(xí)歷程與備考收益。

01.備考體會(huì)

從事網(wǎng)絡(luò)安全行業(yè)以來(lái)，我接觸到的軟件安全問(wèn)題多是系統(tǒng)上線運(yùn)行后，通過(guò)黑盒測(cè)試發(fā)現(xiàn)的，對(duì)于軟件安全的本質(zhì)問(wèn)題了解并不深。通過(guò)CISAW軟件安全開發(fā)全面系統(tǒng)的學(xué)習(xí)和備考，特別是以軟件安全問(wèn)題為導(dǎo)向的學(xué)習(xí)方式，讓我對(duì)軟件安全問(wèn)題的成因及解決方式有了更直觀和更深刻的理解，豐富了我在軟件開發(fā)安全方面的知識(shí)、擴(kuò)展了我分析軟件安全問(wèn)題的視角。

02.對(duì)軟件安全開發(fā)的理解

在軟件開發(fā)工作初期，業(yè)務(wù)部門通常更關(guān)注業(yè)務(wù)功能的實(shí)現(xiàn)，往往忽略對(duì)安全問(wèn)題的考慮，加之沒(méi)有足夠的能力去顧及安全，導(dǎo)致在軟件開發(fā)需求分析階段缺乏足夠的安全需求分析和設(shè)計(jì)，而開發(fā)人員側(cè)重的是開發(fā)編碼的能力，相對(duì)缺乏安全編碼規(guī)范，致使開發(fā)者很難從攻擊者的角度去審查開發(fā)的軟件，存在安全隱患。整體來(lái)看，由于安全投入在整個(gè)軟件生命周期中相對(duì)滯后，造成項(xiàng)目風(fēng)險(xiǎn)較大而且在后期開展安全測(cè)試和漏洞修復(fù)，需要投入的成本也比較大，消耗了較多的人力和時(shí)間，效果也理想。

參加CISAW軟件安全開發(fā)的備考，我更能理解軟件的安全性是貫穿整個(gè)軟件生命周期過(guò)程的，讓我在今后軟件開發(fā)生命周期中各個(gè)階段、環(huán)節(jié)更注重安全需求分析及能力的培養(yǎng)，實(shí)現(xiàn)安全開發(fā)。

通過(guò)CISAW軟件安全開發(fā)的備考以及結(jié)合工作經(jīng)驗(yàn)，我總結(jié)了在軟件開發(fā)過(guò)程中常遇到的一些安全問(wèn)題分享給大家：

1、開源及第三方組件安全風(fēng)險(xiǎn)，開源軟件安全是供應(yīng)鏈安全中重要一環(huán)，要及時(shí)跟蹤、評(píng)估、審查第三方組件存在的安全風(fēng)險(xiǎn)及風(fēng)險(xiǎn)級(jí)別，可建立組件黑名單庫(kù)，在開發(fā)過(guò)程中禁用組件黑名單。典型的組件安全問(wèn)題包括：log4j2 jndi注入漏洞、fastjson反序列化漏洞等。

2、嚴(yán)格校驗(yàn)輸入?yún)?shù)，通常在服務(wù)端采用白名單方式對(duì)輸入的參數(shù)進(jìn)行校驗(yàn)。

3、對(duì)文件上傳操作要求系統(tǒng)的一致性校驗(yàn)、判斷上傳文件類型；使用隨機(jī)數(shù)改寫文件名和文件路徑進(jìn)行保存，通常設(shè)置應(yīng)用項(xiàng)目目錄以外的目錄作為單獨(dú)文件的保存目錄；在系統(tǒng)上線運(yùn)行后，文件上傳的目錄設(shè)置為不可執(zhí)行。

4、訪問(wèn)控制常見問(wèn)題，如垂直縱向越權(quán)、水平橫向越權(quán)，可采用如下方法進(jìn)行規(guī)避：基于URL的訪問(wèn)控制、基于方法(method)的訪問(wèn)控制、基于角色的訪問(wèn)控制等，例如spring中通過(guò)Spring Security配置實(shí)現(xiàn)基于角色的訪問(wèn)控制：
<http auto-config="true">
<intercept-url pattern="/president_portal.do" access="ROLE_PRESIDENT" />
<intercept-url pattern="/manager_portal.do” access="ROLE_MANAGER" />
</http>

5、日志記錄常出現(xiàn)的問(wèn)題是記錄敏感信息，如用戶登錄的憑證信息：登錄密碼、或者業(yè)務(wù)個(gè)人身份信息等。

6、程序異常處理問(wèn)題，禁止拋出異常，防止信息泄露，如java中printStackTrace()、getStackTrace()等。

7、避免使用易受攻擊的函數(shù)，如strcpy (), strcat (), sprintf ()等可能導(dǎo)致溢出問(wèn)題。

不同的開發(fā)語(yǔ)言，有不同的安全特性問(wèn)題，當(dāng)前軟件安全問(wèn)題包括上述內(nèi)容但不限于緩沖區(qū)溢出、未初始化的內(nèi)存使用、配置管理、NULL引用、強(qiáng)制類型轉(zhuǎn)換、日志偽造、任意文件讀取等問(wèn)題，這些在軟件開發(fā)過(guò)程中都需重點(diǎn)關(guān)注。

03.收獲與感悟

近年來(lái)，隨著云原生、開源中間件、應(yīng)用容器化等技術(shù)的廣泛應(yīng)用，對(duì)軟件、信息系統(tǒng)攻擊逐步多元化。如何發(fā)現(xiàn)和避免軟件在開發(fā)過(guò)程中出現(xiàn)安全問(wèn)題，成為了各行業(yè)亟待解決的困境。

通過(guò)考取CISAW軟件安全開發(fā)證書，我對(duì)軟件開發(fā)過(guò)程中安全需求分析、軟件安全評(píng)估流程、方法論以及各種開發(fā)語(yǔ)言的安全問(wèn)題有了更全面系統(tǒng)的認(rèn)識(shí)，同時(shí)也提升了自身的軟件安全分析能力，能夠使我在工作中快速定位軟件安全問(wèn)題，并提出可交付性強(qiáng)的軟件安全代碼解決建議或方案。

作為一名安全工程師，在以后的工作中將持續(xù)深耕對(duì)軟件安全的學(xué)習(xí)研究，為護(hù)航數(shù)字中國(guó)網(wǎng)絡(luò)安全建設(shè)貢獻(xiàn)力量。

關(guān)于CCRC-CISAW授權(quán)培訓(xùn)機(jī)構(gòu)：中科至善
中科至善（mqptxio.cn）面向全國(guó)提供安全培訓(xùn)服務(wù)，每個(gè)月滾動(dòng)開設(shè)認(rèn)證培訓(xùn)班，全國(guó)就近安排培訓(xùn)和考試。授課講師均是從事10年以上持有認(rèn)證講師證的信息安全專家，累計(jì)幫助超3000名學(xué)員取得認(rèn)證證書，超99%的學(xué)員第一次考試就能順利通過(guò)。


更多詳情致電咨詢：191 4105 6590 或掃碼添加微信獲取更多資料。