英文原文:Security Code Review Tips for Application Developers
安全的程序开发实践的一个关键方面就是安全代码审查。安全代码审查,与常规的代码审查一样,可以使用自动化工具完成,也可以要求开发者亲自参与到代码审查中人工完成。那么,安全代码审查与常规的代码审查有哪些差别、如何做到更有效的安全代码审查呢?大家可以通过本文了解一下。
安全代码审查:对安全知识要求高
常规的程序代码审查需要代码审查者具备业务、程序语言和相关技术知识的积累,安全代码审查则需要具备以下 3 个不同方面的安全知识:
让安全代码审查更有效:自上而下
要做到有效的安全代码审查,方式之一就是采用自上而下的方法,此方法要求代码审查者了解用例细节且对此有比较深入地掌握。进行安全代码审查,建议你按照下面的步骤进行。
1,了解待审查代码的用例细节
2,分解用例
以下面形式分解用例,该种分解属于数据流图(DFD)式威胁模型:
3,识别威胁
STRIDE 可用来识别对上述元素的威胁。STRIDE,是“假冒身份、篡改数据、否认、信息泄露、拒绝服务和权限提升”英文单词的缩写(对应的英文为 Spoofing Identity、Tampering Data、Repudiation、Information Disclosure、Denial of Service 与 Elevation of Privelege)。比如,角色(Actor)可能会受到来自“假冒身份”和“否认”的威胁;数据流可能会受到“篡改数据”、“信息泄露”和“拒绝服务”等方式的威胁等。
4,检查安全漏洞
一旦威胁与全部元素发生了关系,则需检查潜在的可能转变为攻击的安全漏洞。如,SQL 注入,会话处理,已破坏的验证与授权等。可以查看文章 OWASP Top 10 了解常见的 10 种安全漏洞。
5,做好补救控制
一旦确认安全漏洞,则需检查补救控制措施是否到位或针对这些漏洞的措施是否恰当。这些补救控制措施通常就是更为安全的代码。可以在 OWASP Top 10 每个单独链接页查看相应的补救控制措施建议。
下面针对部分威胁和安全漏洞给出了对应的补救控制建议:
结语
目前,对部分开发者来说,可能还需要一定程度的安全培训才能胜任安全代码审查工作、实现有效的安全代码审查。代码的常规审查不可少,安全审查也不可少,对安全性要求较高的程序尤其要注意。如果缺少了这道流程,万一遭受攻击,带来的损失将远超过我们的想象,“预则立,不预则废”说的就是这个道理。
Via Vitalflux