1.背景和需求
背景:
目前大部分企業的安全都存在問題,修復完了以後隨着業務的變更又出現了新的問題,該怎麼解決呢??? .....此處省略100字的介紹...
需求:
- 爲了防止一些通用型,業務邏輯和嚴重的poc漏洞產生,需要從根源上入手提高業務代碼的安全質量
- 防止隨着業務的更新和迭代出現新,老問題
2.解決方案和實現方法, 週期[排期]
目前現狀:代碼管理倉庫不統一:gitlab和gerrit
代碼審計系統解決方案一:
採用旁路的方式進行代碼安全審計,流程如下:
缺點:無法從流程上面截斷,所以項目再流程上可直接繞過代碼安全審計直接上線。
問題:無。
代碼審計系統解決方案二:
使用流程截斷的方式:採用jenkins配置gerrit+sonar和gitlab+sonar,具體流程如下:
缺點:gitlab無法截斷流程
- 問題1:搭建jenkins配置gerrit+sonar和gitlab+sonar
- 問題2:推廣jenkins使用和配置
- 問題3: 剔除掉其它規則,只留下安全的規則; 但sonar規則問題(維護,開發,審覈,優化);
- 問題4:sonar用戶操作權限設置, 存在繞過
- 問題5:不能確定代碼審計的問題包含所有漏洞,且代碼審計屬於靜態掃描會存在誤報導致項目代碼會延遲上線。
- 問題6:目前給公司帶來的安全價值不大
實現方式:自建 or 購買 or 開源二次開發
週期:待定
3.選擇策略[維度]
代碼審計系統維度:
- 支持審計各種語言
- 支持批量審計
- ...
4.方案審覈
開發,設計,前端都是自己;所以自己一遍過了! 哈哈
5.方案設計
6.方案實施
初期:...