安全-系统上线安全检查规范

  现在各个公司都开始重视安全，不仅仅是因为国家开始重视安全，而是安全漏洞一旦暴露，被有心之人发现进行破坏，损失将无法估量；比如：前端时间拼多多优惠券事件…
  安全测试是一项比较重要的测试项，但是在测试之前，安全规范之类也应该有所了解，今天来说说上线安全检查规范：

• 在业务系统发布或在版本迭代中存在的安全隐患，在系统提测环节和发布环节应该引入安全红线原则，这样减少编码不规范、使用存在漏洞的依赖或组件的情况，从而降低系统被入侵、数据泄漏、内容篡改等安全风险，保证系统发布后稳定运行。
• 所有开放公网服务的业务系统在上线前均应开展安全红线检查。
• 安全红线检查涉及到源代码质量检查、依赖库漏洞检查、基础镜像漏洞检查以及服务运行时自动扫描加人工逻辑安全检查。
• 系统中若存在高危漏洞，安全组应通知研发人员，修复高危漏洞，漏洞修复完成，由安全人员复测检查通过后，方可上线。
• 系统若存在高危漏洞，系统又必须在指定时间上线，系统开发人员应找安全人员，进行临时修复操作，降低攻击面。带问题的系统上线后，安全人员应紧密监控系统情况，及时发现异常并实施处理。开发人员应在下一个版本迭代中修复高危漏洞。
• 系统重要功能模块开发完成后，测试人员在对功能开展测试完成后，由安全人员开展安全测试。安全测试的内容包括但不限于：源代码审计、渗透测试、代码扫描、系统组件配置核查、漏洞扫描等内容。
• 对于具有重要业务功能的模块，系统上线前，至少应执行源代码审计及渗透测试。