软件应用程序安全开发指南(SDLC)

软件应用程序安全开发指南(SDLC)

1.概述

本指南是IT安全保障体系建设规范的一个组成部分，全面阐述了IT系统应用开发整个软件生命周期所必须遵照的设计、编码、测试方面的安全要求，阐述了不同开发环境和编码语言条件下安全开发的相关规范要求。

1.1.目的
本指南针对xxxx应用系统应当遵循的应用开发安全标准进行了规范性说明，旨在指导应用系统设计人员、代码开发人员和安全检查管理人员进行应用安全开发的安全配置，以提高应用系统的安全防护能力。
1.2.适用范围
本指南适用于xxxx系统代码开发项目，作为xxxx在IT系统开发、设计环节中所遵照执行的依据。
1.3.适用对象
本配置指南的适用人员包括：xxxx系统应用开发人员及安全检查管理人员。

2.应用系统设计安全

2.1.应用系统架构安全设计要求
在应用系统设计阶段，应充分考虑该架构的安全性,包括B/S、C/S等形式的安全，主要体现在应用数据和用户会话的安全，还应当考虑应用系统自身体系架构内部的安全，以及与外系统接口的安全。针对某些特殊应用，还需考虑复、抗攻击等安全机制。
2.1.1.应用系统自身架构安全
1、 自身结构中各组件之间通讯过程的安全机制
组件之间的通讯包括命令级的和数据级的，应充分考虑：
· 传输命令和数据所采用的协议的安全性。应根据组件之间通讯内容安全性要求程度的不同选择不同安全性要求的协议；
· 考虑程序的模块之间的安全通讯机制；
· 不应使用标准的服务端口或者常见病毒、蠕虫等使用的服务端口。
2、 认证与访问控制机制，应考虑：
· 组件之间的信任机制；
· 用户的身份认证机制；
· 对于组件资源的访问控制机制。
3、 组件内重要文件和数据的安全防护机制：