2同行回答
我们银行,也有用外员。我理解外员安全开发有两个层面意思:
一、访问安全,外员可以访问那些行内资源,比如可以看那些文档、可以参与那些开发、可以访问那些网络、可以访问那些服务器。这方面管理严了,效率低,管理松了有担心出问题。我建议是开发环境与其他行内环境隔离,源码按照角色控制范围范围。至于需求、设计,最好不要让外员参与,其实业务比代码值钱!否则你就没有什么商业机密了。
二、代码安全,外员要发挥作用,就要参与模块设计,参与编码,可能因工作需要还会引入一些第三方类库。因此要对代码安全、代码质量、代码可读性进行控制,否则即使不出安全问题,那天他离开了也够你头疼的。在这方面我这里是通过工具实现的,主要用了CheckStyle、Findbugs、PMD、CheckMarx,管理者几个方面。不过这几个工具都需要自己定制与集成。
收起软件安全开发体系首先需要一整套的安全开发制度保障,不同人员的访问控制,渗透测试,第三方应用扫描工具配合,如Appscan的黑盒,白盒,灰盒以及玻璃盒技术等配合。
收起浏览2047
- 正在Appscan,不过对于开发组来说,误报太高。规则定制方面有不熟悉。另一方面,我希望能够把产品的各种评测数据,从开发的角度组织到一起。appscan的数据不知道怎么提出了,和其他检测对比分析。 人工看appscan报告比较累。