7.3.1 安全编码原则
通常在编码阶段,人们会使用一些开发工具来提高代码的编写效率,也会使用多种编程语言,例如C,C++,JAVA等,对于不同类型的软件开发,选择合适的编程语言也是很重要的。另外,在程序编码中必须要制定统一,符合标准的编写规范,以保证程序的可渎性,易维护性,提高程序的运行效率。
就软件安全编码而言,一些安全组织和企业已经公开了一些编码标准和规范,可以供软件开发团队参考,如CERT发布的有关C、C++、JAVA等语言的著名安全编码标准,OWASP 也发布了《OWAsP安全编码规范快速参考指南》提供了一种综合的清单模式。同时,一些企业和安全专家撰写的一些安全编码书籍,也提出了不少有益的安全编码原则和规范参考。
根据每个项目开发语言和应用环境特性不同,每个软件开发企业可以根据自己的特定需求,结合标准的安全编码规范来制定适合自己项目的安全编码规范。本小节介绍一些通用的安全编码准则,作为原则性的安全编码要求,适用于不同的编程语言和开发环境。