7.5.4 安全监理
1.安全监理工作内容
安全监理的主要作用是:检查和控制开发流程,确保开发流程中各项安全措施的遵守。 安全监理应该由第三方担任,可以外包,也可以由公司的其他部门承担,不应由开发者担任这个角色。安全监理的内容主要包括如下五部分。
1)开发环境的安全性
主要检查内容包括:项目文档、代码存放是否安全;是否有完善的备份制度;是否有灾难恢复机制;项目文档和代码的访问是否受控;是否有代码和文档的版本管理;开发的网络环境是否安全;开发人员使用的邮件组是否安全。
2)开发流程的安全性检查和评估
主要检查内容包括:程序员是否使用了“危险”的代码;程序员的函数是否都检查了人口参数的合法性;是否使用了未经授权的代码;是否对第三方代码进行安全性评估和测试,
就直接使用;测试用的“后门”,是否在发布版中去除;程序员是否在代码中隐藏“恶意” 的代码;代码中是否有无用的代码。
3)开发各个环节的安全性措施是否被实施
主要检查内容包括:是否对开发人员的邮件进行检查;是否检查了代码和文档的访问权限。