诸子云 ▪ 企业网络安全专家联盟——以中国境内各行业各领域企业组织的网络安全从业骨干为主体的社群组织,是为奋战在用户单位网络安全一线的实践者提供的交流互助平台。
2019年6月,诸子云首次推出“项目”共建机制,鼓励会员群策群力、创新分享。这一模式基于诸子云社群特点,以“众人拾柴火焰高”、“集中力量办大事”为理念,为网安行业创新发展添砖加瓦。一经发起,应者众多。第一季共计11个“诸子项目”,成果斐然。
2020年1月,诸子项目第二季拉开序幕。虽受疫情影响,但参与者热情不减,项目题材更为丰富、理论研究更为深刻。第二季共计10个“诸子项目”,成绩卓著。
2020年5月,诸子项目第三季发起预热,在前两季成功经验的基础上,我们做出了突破性尝试,项目广度、深度、趣味性层面均有进一步提升。既包含“个人信息保护”、“物联网与智慧城市”等热门话题,也有“量子通信安全”、“IAM账户管理与鉴权”、“网络准入系统调研分析”等专业问题,还包括“HW行动”、“薪资调查”、“诸子星球”等现实问题。
今天我们展示的,就是诸子项目第三季成果之一:代码审计建设调研报告。
-----
-----
项目名称:代码安全审计建设调研报告
项目内容:本项目对企业源代码审计建设中出现的常见问题,踩过的坑及相应解决方案、经验教训进行总结,提供给还在进行企业源代码安全建设摸索或者正准备做这块的安全工程师做个参考。
项目类型:共享
项目经理
负责企业源代码安全建设相关工作,拥有丰富的移动安全经验。
项目成员
晨星资讯(深圳)有限公司安全架构师,OWASP中国广东分会负责人,CISSP,AWS助理解决方案架构师和AWS认证安全专家。
某车联网公司安全负责人,拥有CCSE、CASP、OSCP、CEH等资质,8年安全运营经验,4年安全团队管理经验。
安信证券开发安全和数据安全管理岗,CISSP
平安国际智慧城市科技股份有限公司 系统管理部 信息安全架构师,6年安全行业经验,现牵头主导平安智慧城市开发安全体系建设及落地。
某集团网络安全专家
项目概览
超过50%的安全漏洞是由错误的编码产生的,开发人员由于一般安全开发意识和安全开发技能不足,更加关注业务功能的实现,容易忽略安全问题,虽然一般企业都制定了安全开发红线和安全编码规范,但是我们无法确保开发人员是否有效的按照安全开发红线或者安全编码规范进行编码。一旦带有漏洞的代码上线,那么后期针对漏洞修复工作所付出的成本将极大地增加。而且漏洞一旦被攻击者利用,也会给企业造成巨大危害。
因此,我们需要一种在项目上线前,最好是开发阶段就能提前发现应用漏洞,从而解决安全问题的办法。代码审计正好能解决这个问题。代码审计是一种针对源代码的漏洞分析方法,它从安全的角度对整个项目代码进行审计,找出应用系统中可能存在的安全隐患,并给出相应的漏洞修复方案,帮助开发人员提高应用系统的安全性。(获取方式见文末)
是如何产生整理这份代码审计
建设调研报告的想法的?
黄小波在公司负责源代码安全建设,由于以前没有这方面的经验,所以在过程中遇到了不少问题。而在安全社群里跟他人请教经验和解决方案的时候,他发现有很多安全人也有遇到同样或类似的各种问题,所以把这些遇到的问题(或者说踩过的坑)及其解决方案记录下来,供后来者参考。
项目按照源代码安全建设的内容和常见问题划分,首先列出项目的结构并完成主体框架的编写,项目成员各自根据自己的经验和特长认领和补充相应的内容,最终由黄小波再统一进行梳理总结。
黄小波告诉笔者,他最初希望每周能开一个视频会议,针对框架中的问题逐个讨论,后来发现项目成员都很忙碌,时间上凑不到一块。于是后来采用成员的建议,由他来完成主体框架编写,再让各个项目成员填充内容。
虽然报告已涵盖了大部分典型问题,目前仍有部分问题没有合适的解决方案,还需要持续修订,后续小组将继续总结工作经验和教训,为完善报告内容贡献自己的力量。
如何获取这份资料?
目前,诸子项目第一季、第二季的所有项目成果,均已上传至诸子云星球。随着第三季项目的展开,所有项目成果也将陆续上传。除此之外,知识星球中还存有大量行业前沿报告等资料。现在加入诸子云知识星球,便可提前下载,领先他人一步,纵览全局,占据竞争高地。
诸子云星球“矿产资源”(标签)主要包括:
► #项目 诸子云会员协作项目成果;
► #活动 诸子云相关活动议题材料;
► #报告 安在发布及诸子云相关调查报告;
► #资料 相关群里分发的各类有价值资料;
► #话题 会员群话题讨论的分类整理;
► #讲堂 直播相关,课件、补充材料等;
► #社群 社群管理相关,介绍、月报等;
► #厂商 厂商可以在此标签下发布介绍、解决方案、案例等材料。
1. 参加“安在讲堂”精品课程折扣;
2. 购买安在出品包括调查报告、征文文集在内各类知识商品的优惠;
3. 优先参加安在组织的各类线下活动。
推荐阅读
诸子云 | 初秋时节,我们开了个“一大”
当甲方遇见甲方,“诸子项目”已开花结果
诸子云 | 项目:CSO知识体系及技能树
诸子云 | 项目:云数据安全控制框架
诸子云 | 项目:企业个人信息合规保护原则
诸子云 | 项目:汽车行业可信信息安全评估交换认证TISAX研究报告
诸子云 | 项目:网络安全个人认证大全
诸子云 | 项目:社会工程学TOP10
诸子云 | 项目:首席安全官 CSO 手册
诸子云 | 诸子项目第二季,北上深携十大项目给您拜年!
诸子云 | 项目:密码法合规建议指南
诸子云 | 项目:企业互联网隐形资产的保护
诸子云 | 项目:从企业组织架构看信息安全
诸子云 | 项目:POC 测试报告共享项目报告
诸子云 | 项目:安全日志分析系统建设调研分析
诸子云 | 诸子项目第三季,探索更多可能
诸子云 | 项目:个人隐私保护标准和技术解读
诸子云 | 项目:量子通信安全研讨
诸子云 | 项目:个人信息保护专项
齐心抗疫 与你同在 
本文始发于微信公众号(安在):诸子云 | 项目:代码审计建设调研报告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论