Ric*_*ett 1 language-agnostic security coding-style pci-dss
作为PCI-DSS审计的一部分,我们正在研究如何改进安全领域的编码标准,以确保所有开发人员都了解这一领域的重要性.
您如何在组织内处理此主题?
另外,我们在.NET 3.5中编写面向公众的Web应用程序,接受信用卡/借记卡付款.
打破安全的方式有很多种.你可以期待无限的攻击者.你必须阻止它们 - 甚至是尚未发明的攻击.这个很难(硬.一些想法:
开发人员需要了解众所周知的安全软件开发指南.Howard&Le Blanc"编写安全代码"是一个良好的开端.
但成为优秀的规则追随者只是其中的一半.能够像攻击者一样思考同样重要.在任何情况下(不仅与软件相关),请考虑漏洞是什么.您需要了解人们可以攻击系统的一些奇怪方式 - 监控功耗,计算速度,随机数弱点,协议弱点,人为系统弱点等.为开发人员提供自由和创造性机会来探索这些非常重要.
使用清单方法,如OWASP(http://www.owasp.org/index.php/Main_Page).
使用独立评估(例如http://www.commoncriteriaportal.org/thecc.html).即使这样的评估过于昂贵,设计和文档就好像你要使用它一样.
确保明确表达您的安全性论点.安全目标的共同标准是一种好的格式.对于严肃的系统,正式描述也很有用.明确您依赖的任何假设或秘密.监控安全趋势,并经常重新检查威胁和对策,以确保它们是最新的.
检查围绕软件开发人员和流程的激励措施.确保奖励在正确的地方.不要让开发人员隐藏问题.