研发安全规范说明书

      过去笔者编写的《研发安全规范说明书》，需要的同仁请在评论留下邮箱，目录如下
研发安全规范目录

目录 4
1 目的... 7
2 系统范围... 7
3 需求阶段... 8
3.1 安全需求... 8
3.2 数据权限设计... 8
通过组织机构树实现... 9
通过组织机构图来详细阐述某个账号的数据权限... 11
通过数据共享配置实现... 12
3.3 数据脱敏... 13
3.3.1 自定义日志脱敏组件... 14
3.3.2 数据分类分级说明和范例... 18
4 概要设计过程... 20
4.1 概要设计关注点... 20
4.2 安全设计... 21
4.2.1 安全架构和设计原则... 21
4.2.2 安全设计八+N原则... 21
4.2.3 安全威胁分类STRIDEP. 23
4.2.4 威胁分析知识库... 24
4.2.5 认证与授权... 24
4.2.6 权限设计... 24
4.2.7 数据加密... 24
4.2.8 XSS字符过滤... 29
4.2.9 前端部署安全... 30
4.2.10 脱敏数据... 30
4.2.11 内容安全... 31
4.3 行为验证码集成... 31
4.4 统一认证... 32
4.5 权限控制... 32
用户机构权限控制... 32
OAuth2. 33
Shiro认证... 35
4.6 漏洞原理... 36
4.6.1 水平越权... 37
4.6.2 垂直越权... 37
4.6.3 漏洞举例... 37
5 安全设计规范... 40
5.1 安全规约... 40
5.2 跨站脚本攻击（XSS）... 42
5.2.1 XSS简介... 42
5.2.2 XSS的类型... 42
5.3 跨站请求伪造(CSRF) 42
5.3.1 CSRF简介... 42
5.3.2 CSRF的特性... 43
5.4 SQL注入... 43
5.4.1 SQL注入简介... 43
5.5 平台开发安全规范... 44
5.5.1 输入检查... 44
5.5.2 SQL语句... 45
5.6 报错信息... 46
5.7 统一资源定位(URL)内容... 46
5.8 接口安全设计规范... 46
5.8.1 API最佳实践... 47
5.8.2 防火墙... 48
5.8.3 验证码... 49
5.8.4 鉴权... 50
5.8.5 IP白名单... 51
5.8.6 数据加密... 52
5.8.7 限流... 53
5.8.8 监控... 55
5.8.9 网关... 56
5.8.10 API安全Checklist 56
5.9 单个接口针对ip限流... 60
5.10 敏感数据加密与脱敏... 60
5.11 幂等性... 60
5.12 Redis安全基线... 60
5.12.1 开启redis密码认证,并设置高复杂度密码... 61
5.12.2 修改默认6379端口... 61
5.12.3 限制redis 配置文件访问权限... 61
5.12.4 禁用或者重命名危险命令... 62
5.12.5 禁止监听在公网... 62
5.12.6 禁止使用root用户启动... 62
5.12.7 打开保护模式... 63
5.12.8 redis-server监听配置... 63
5.13 前端工程部署安全... 63
5.14 Docker安全规范... 64
5.14.1 docker安全基线... 64
5.14.2 检测表... 85
5.15 Mysql安全加固... 88
5.16 Linux等保2.0三级版镜像概述... 91
6 研发过程... 94
6.1 应用系统安全基线... 94
6.1.1 密码复杂度判断... 95
6.2 数据库安全基线... 95
6.3 代码提交安全扫描CI 96
6.4 组件安全扫描CI 96
6.4.1 Dependency Check. 96
6.4.2 Jenkins-plugins-DependencyCheck更新数据文件... 96
6.5 安全编码与实践... 97
6.5.1 参数签名... 98
6.5.2 数据库连接字符串加密... 101
6.5.3 基于jasypt的Springboot配置文件加密... 102
6.5.4 过滤非法字符Java Encoder 106
6.5.5 Https数字证书... 107
6.5.6 Fastjson. 111
6.5.7 Log4j 111
6.5.8 Shiro. 112
6.5.9 跨站脚本编制... 112
6.5.10 API成批分配... 112
6.5.11 基于Refer验证实现 防止跨站 伪造请求 方案... 113
6.5.12 前端防止XSS DOM攻击安全漏洞... 114
6.5.13 服务端XSS Filter 114
6.5.14 OWASP Cheat sheet 118
6.6 上线前安全扫描... 118
HLC AppScan. 118
Fority. 118
7 运维部署阶段... 119
7.1 概要... 119
7.2 应用安全部署... 123
7.2.1 应用系统安全要求... 123
7.2.2 安全部署... 124
7.2.3 环境变量替换配置的明文密码... 124
7.2.4 安全镜像部署... 126
7.3 数据库安全部署... 126
7.3.1 系统数据库安全要求... 126
7.3.2 MySQL数据库... 127
7.4 运维管理要求... 132
7.4.1 数据库运维管理工具要求：... 132
7.4.2 运维人员要求：... 132
7.5 中间件安全部署... 133
7.5.1 Docker安全基线... 133
7.5.2 Minio. 151
7.5.3 Nacos 152
7.6 数据库安全运维工具... 154
7.7 日常运维安全... 154
7.8 操作系统... 154
7.8.1 设置新管理账户... 154
7.8.2 限制root账户... 156
7.8.3 登录策略设置... 157
7.8.4 密码复杂度策略设置... 159
8 安全漏洞修复... 160
8.1 中间件... 160
8.2 Web安全漏洞... 160
任意命令执行漏洞... 161
任意文件上传漏洞... 161
任意文件写入漏洞... 176
任意文件包含漏洞... 176
任意文件删除漏洞... 176
任意文件匿名访问漏洞... 176
Java反序列化漏洞... 176
SQL注入漏洞... 176
XSS漏洞... 177
XXE漏洞... 181
SSRF漏洞... 181
CSRF漏洞... 183
8.3 API成批分配漏洞... 185
国家信息安全等级保护制度第三级评测... 186
安全管理机构具体测评... 190
OWASP安全标准... 195
弱口令... 195
文档部分截图

与

今天先到这儿，希望对AI 云原生，技术领导力， 企业管理，系统架构设计与评估，团队管理, 项目管理, 产品管理，信息安全，团队建设 有参考作用 , 您可能感兴趣的文章:
构建创业公司突击小团队
国际化环境下系统架构演化
微服务架构设计
视频直播平台的系统架构演化
微服务与Docker介绍
Docker与CI持续集成/CD
互联网电商购物车架构演变案例
互联网业务场景下消息队列架构
互联网高效研发团队管理演进之一
消息系统架构设计演进
互联网电商搜索架构演化之一
企业信息化与软件工程的迷思
企业项目化管理介绍
软件项目成功之要素
人际沟通风格介绍一
精益IT组织与分享式领导
学习型组织与企业
企业创新文化与等级观念
组织目标与个人目标
初创公司人才招聘与管理
人才公司环境与企业文化
企业文化、团队文化与知识共享
高效能的团队建设
项目管理沟通计划
构建高效的研发与自动化运维
某大型电商云平台实践
互联网数据库架构设计思路
IT基础架构规划方案一(网络系统规划)
餐饮行业解决方案之客户分析流程
餐饮行业解决方案之采购战略制定与实施流程
餐饮行业解决方案之业务设计流程
供应链需求调研CheckList
企业应用之性能实时度量系统演变
如有想了解更多软件设计与架构, 系统IT,企业信息化, 团队管理 资讯，请关注我的微信订阅号：

作者：Petter Liu
出处：http://www.cnblogs.com/wintersun/
本文版权归作者和博客园共有，欢迎转载，但未经作者同意必须保留此段声明，且在文章页面明显位置给出原文连接，否则保留追究法律责任的权利。 该文章也同时发布在我的独立博客中-Petter Liu Blog。

来源：程序园用户自行投稿发布，如果侵权，请联系站长删除
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！