今天，為大家推薦一位CISAW安全軟件方向持證人員，來自福建省海峽信息技術有限公司的李建振同學，以下是他的學習歷程與備考收益。

01.備考體會

從事網(wǎng)絡安全行業(yè)以來，我接觸到的軟件安全問題多是系統(tǒng)上線運行后，通過黑盒測試發(fā)現(xiàn)的，對于軟件安全的本質問題了解并不深。通過CISAW軟件安全開發(fā)全面系統(tǒng)的學習和備考，特別是以軟件安全問題為導向的學習方式，讓我對軟件安全問題的成因及解決方式有了更直觀和更深刻的理解，豐富了我在軟件開發(fā)安全方面的知識、擴展了我分析軟件安全問題的視角。

02.對軟件安全開發(fā)的理解

在軟件開發(fā)工作初期，業(yè)務部門通常更關注業(yè)務功能的實現(xiàn)，往往忽略對安全問題的考慮，加之沒有足夠的能力去顧及安全，導致在軟件開發(fā)需求分析階段缺乏足夠的安全需求分析和設計，而開發(fā)人員側重的是開發(fā)編碼的能力，相對缺乏安全編碼規(guī)范，致使開發(fā)者很難從攻擊者的角度去審查開發(fā)的軟件，存在安全隱患。整體來看，由于安全投入在整個軟件生命周期中相對滯后，造成項目風險較大而且在后期開展安全測試和漏洞修復，需要投入的成本也比較大，消耗了較多的人力和時間，效果也理想。

參加CISAW軟件安全開發(fā)的備考，我更能理解軟件的安全性是貫穿整個軟件生命周期過程的，讓我在今后軟件開發(fā)生命周期中各個階段、環(huán)節(jié)更注重安全需求分析及能力的培養(yǎng)，實現(xiàn)安全開發(fā)。

通過CISAW軟件安全開發(fā)的備考以及結合工作經(jīng)驗，我總結了在軟件開發(fā)過程中常遇到的一些安全問題分享給大家：

1、開源及第三方組件安全風險，開源軟件安全是供應鏈安全中重要一環(huán)，要及時跟蹤、評估、審查第三方組件存在的安全風險及風險級別，可建立組件黑名單庫，在開發(fā)過程中禁用組件黑名單。典型的組件安全問題包括：log4j2 jndi注入漏洞、fastjson反序列化漏洞等。

2、嚴格校驗輸入?yún)?shù)，通常在服務端采用白名單方式對輸入的參數(shù)進行校驗。

3、對文件上傳操作要求系統(tǒng)的一致性校驗、判斷上傳文件類型；使用隨機數(shù)改寫文件名和文件路徑進行保存，通常設置應用項目目錄以外的目錄作為單獨文件的保存目錄；在系統(tǒng)上線運行后，文件上傳的目錄設置為不可執(zhí)行。

4、訪問控制常見問題，如垂直縱向越權、水平橫向越權，可采用如下方法進行規(guī)避：基于URL的訪問控制、基于方法(method)的訪問控制、基于角色的訪問控制等，例如spring中通過Spring Security配置實現(xiàn)基于角色的訪問控制：
<http auto-config="true">
<intercept-url pattern="/president_portal.do" access="ROLE_PRESIDENT" />
<intercept-url pattern="/manager_portal.do” access="ROLE_MANAGER" />
</http>

5、日志記錄常出現(xiàn)的問題是記錄敏感信息，如用戶登錄的憑證信息：登錄密碼、或者業(yè)務個人身份信息等。

6、程序異常處理問題，禁止拋出異常，防止信息泄露，如java中printStackTrace()、getStackTrace()等。

7、避免使用易受攻擊的函數(shù)，如strcpy (), strcat (), sprintf ()等可能導致溢出問題。

不同的開發(fā)語言，有不同的安全特性問題，當前軟件安全問題包括上述內(nèi)容但不限于緩沖區(qū)溢出、未初始化的內(nèi)存使用、配置管理、NULL引用、強制類型轉換、日志偽造、任意文件讀取等問題，這些在軟件開發(fā)過程中都需重點關注。

03.收獲與感悟

近年來，隨著云原生、開源中間件、應用容器化等技術的廣泛應用，對軟件、信息系統(tǒng)攻擊逐步多元化。如何發(fā)現(xiàn)和避免軟件在開發(fā)過程中出現(xiàn)安全問題，成為了各行業(yè)亟待解決的困境。

通過考取CISAW軟件安全開發(fā)證書，我對軟件開發(fā)過程中安全需求分析、軟件安全評估流程、方法論以及各種開發(fā)語言的安全問題有了更全面系統(tǒng)的認識，同時也提升了自身的軟件安全分析能力，能夠使我在工作中快速定位軟件安全問題，并提出可交付性強的軟件安全代碼解決建議或方案。

作為一名安全工程師，在以后的工作中將持續(xù)深耕對軟件安全的學習研究，為護航數(shù)字中國網(wǎng)絡安全建設貢獻力量。

關于CCRC-CISAW授權培訓機構：中科至善
中科至善（www.warmw001.com.cn）面向全國提供安全培訓服務，每個月滾動開設認證培訓班，全國就近安排培訓和考試。授課講師均是從事10年以上持有認證講師證的信息安全專家，累計幫助超3000名學員取得認證證書，超99%的學員第一次考試就能順利通過。


更多詳情致電咨詢：191 4105 6590 或掃碼添加微信獲取更多資料。