一、背景
团队最近频繁遭受网络攻击,引起了技术负责人的重视,笔者在团队中相对来说更懂安全,因此花了点时间编辑了一份安全开发自检清单,觉得应该也有不少读者有需要,所以将其分享出来。
二、主机安全
2.1 I/O操作
| 说明 | 检查项 |
| 共享环境文件安全 | 在多用户系统中创建文件时应指定合适的访问许可,以防止未授权的文件访问,共享目录中文件的读/写/可执行权限应该使用白名单机制,实现最小化授权。 |
| 数据访问检查 | 防止封装好的数据对象被未授权使用,设置合理的据缓存区大小以防止耗尽系统资源, |
| 应用文件处理 | 应用程序运行过程中创建的文件,需设置问权限(读、写、可执行),临时文件使及时删除 |
2.2 运行环境
| 说明 | 检查项 |
| 最小化开放端口 | 关闭操作系统不需要的端口和服务 |
| 后台服务管理 | 后台(如数据缓存和存储、监控、业务管理等)务限内部网络访问,开放在公网的必须设置身份验证和访问控制。 |
| 环境配置 | 使用安全稳定的操作系统版本、Web股务器软件各种应用框架、数据库组件等 |
| 敏感代码处理 | 将客户端敏感代码(如软件包签名、用户名密码校验等)都放在o等软件包中防止篡改。 |
| 关闭调试通道 | 生产代码不包含任何调试代码或接口 |
| 通信安全 | 配置网站的HTTPS证书或其它加密传输措施。 |
三、图书推荐
如果对笔者的文章较为感兴趣,可以关注笔者新书《PHP Web安全开发实战》,现已在各大平台上架销售,封面如下图所示
