应用程序开发安全性

一般

本程序的目的是建立确保开发的基本过程和实践, 部署和维护更安全的应用程序.

适用性

本程序适用于所有大学资讯资源的开发人员.

程序

1. 应用程序, 应用程序服务, 应用程序开发工具应该使用加密协议连接敏感数据, 包括密码, 正在转移. 这适用于应用程序的开发过程, 以及在应用程序的生命周期内.

2. 到外部服务的应用程序连接, 包括LDAP, SMB, 和FTP, 如果加密协议可用，应该使用它吗.

3. 应用程序与数据库的连接应该在应用程序主机和数据库主机之间进行加密.

4. 应该使用访问控制列表(acl)来确保只向开发人员或应用程序授予必要的访问权限.

5. 密码, 包括应用程序使用的密码, 如果可能的话，应该以加密格式存储吗.

6. SQL查询应该使用绑定变量, 而不是串联字符串, 以尽量减少SQL注入的机会.

7. 如果传输敏感数据，应用程序应该在用户和应用程序主机之间使用SSL加密. 即使不传输敏感数据，应用程序也应该选择SSL.

8. 无论是否使用客户端验证，应用程序都应该使用服务器端验证.

9. 应用程序日志记录必须生成调试或审计所需的日志, 并可能产生正常运行的日志.

10. 基于web的应用程序必须使用应用程序解决方案主管批准的web应用程序模板.

历史

创建于2013年9月11日

最后更新2014年3月31日