9 个 Web 应用程序安全代码审查最佳实践

现代网络应用程序功能丰富，可提供无缝的用户体验以及通过业务数据和逻辑的直观流程。

由于客户需求不断增长以及快速的功能驱动开发，安全性往往被忽视，漏洞不断出现，而且往往无法被发现。

安全代码审查有助于识别这些可能无法检测到的安全漏洞和弱点。它将一套安全标准应用于代码，以确保遵循安全编码的最佳实践和开发流程。

安全代码审查使用自动化工具、检查表、线程建模、软件开发经验和安全经验来识别可以缓解的安全漏洞。

9 个安全代码审查最佳实践

安全代码审查应该成为软件开发生命周期 (SDLC) 的一部分。

以下是您应该遵循的一些最有效的安全代码审查最佳实践：

1. 创建全面的安全代码审查清单

每个软件解决方案都有自己的安全要求和特性，因此代码审查可能因软件应用程序而异。

拥有全面的安全代码审查清单有助于确保您不会错过关键项目并执行彻底的代码审查。

进行安全代码审查时应该考虑以下一些问题：

• 您是否实施了适当的授权控制？
• 您是否实施了适当的身份验证控制？您是否采用了双因素或多因素身份验证？
• 敏感数据是否加密？您如何处理加密密钥？
• 错误消息是否向用户显示敏感信息？
• 您是否实施了其他安全控制措施来防止 SQL 注入、XSS 攻击、恶意软件等？

这些只是您可能希望在安全代码审查清单中包含的几个问题。请记住，清单在很多情况下可能并不详尽，但它可以为代码审查人员提供方向，帮助他们进行有效的安全代码审查，并交付高质量且安全的代码。

2. 不断回顾

公司必须定期进行安全代码审查，以确保在代码发生重大变化时能够得到有效的审查。

安全的代码审查不需要您等待开发过程完成。相反，您可以在开发过程中进行代码审查。

通过定期审查代码，您可以发现可能被攻击者利用的漏洞或漏洞，并及时修复。这还能增强代码的整体安全性，提高代码质量，使未来的实施更加快速、轻松且经济实惠。

3. 使用威胁模型

威胁建模使组织能够识别威胁并制定有效的响应措施。建立结构化的威胁建模流程有助于检测、理解和传达威胁及缓解措施，从而保护应用程序资产。

威胁建模可以在规划、设计、开发和/或后续部署阶段进行。它不仅有助于识别风险，还能帮助团队更好地理解应用程序各个组件之间的关系。

由于应用程序的环境和设计在整个项目生命周期中不断变化，了解组件如何与产品互连至关重要。这可以帮助您更好地了解安全威胁和风险。

4. 使用自动化工具节省时间（但不要让自动化做所有事情）

自动化工具可以发挥至关重要的作用，特别是在保护软件安全方面，因为您拥有的代码越多，代码审查逐行检测代码缺陷的效率就越低。

由于应用程序包含数十万甚至数百万行代码，因此不可能在合理的时间内逐行手动执行全面的代码审查。

自动化工具能够简化流程，最大限度地减少人工干预，使其能够专注于需要逻辑或业务分析的更复杂任务。自动化静态代码分析工具几乎可以提供完整的代码覆盖，并能够发现手动检查可能无法检测到的漏洞。

例如，如果静态代码分析工具发现 SQL 或 XSS 注入漏洞，则可能需要在代码库中搜索类似的漏洞模式，如果手动完成，这是一项耗时且几乎不可能完成的任务。

虽然很多事情可以依赖自动化，但并非所有事情都依赖它。尽管自动化带来了诸多好处，但也带来了一些挑战，例如，自动化无法发现设计和架构缺陷，以及许多其他自动化无法可靠检测的缺陷。

由于自动化工具无法正确理解业务流程，因此无法发现逻辑环节的缺陷。此外，自动化还会产生大量误报，这可能会破坏整个测试流程，因为审核人员必须手动检查这些已发现的漏洞。

5. 利用应用程序安全专家的专业知识

虽然自动化工具在执行耗时任务（例如在庞大的代码库中搜索易受攻击的代码模式）方面比人工更高效，但它们在其他方面仍存在不足。

这就是为什么需要一名应用程序安全专业人员来整合安全代码审查流程，并提供清晰的上下文信息。安全分析师或代码审查人员的经验和知识在 Web 应用程序的安全代码审查中不可或缺。例如，在代码审查任务中，他们就需要具备识别应用程序逻辑问题的能力。

但是，您可以利用安全专业人员和自动化工具的优势来推进安全代码审查流程，从而使安全团队能够确定全面的风险和漏洞。

6.验证您的输入和输出

安全代码审查的一个重要部分是分析软件的攻击面。攻击者经常利用输入和输出来利用应用程序的漏洞，获取信息或进行其他恶意活动。

主要目标是识别和审查来自所有不受信任数据源的各种输入，并验证输出。通过验证输入，您可以确保应用程序妥善处理不受信任的输入，从而防止潜在的恶意输入被用来攻击应用程序。

通过验证输出，您可以确保您的应用程序不会损害最终用户或从您的应用程序提取数据的其他系统。

输入可能来自 Cookie、数据馈送、服务响应、命令行、平面文件、属性文件、环境变量、外部进程和浏览器。检查信息系统输入的有效语义和语法（例如字符长度、字符集、可接受值和数值范围），以确保输入符合指定的内容和格式标准。

输入验证有助于确保输入的准确性，并防止诸如 SQL 注入、跨站点脚本以及各种其他注入攻击。因此，应用程序在处理输入数据之前对其进行验证至关重要。

此外，当您将输出数据发送到用户的 Web 浏览器、网络、文件或其他地方时，您需要确保发送的数据是安全的。

7. 强制最低权限

另一个安全代码最佳实践包括实施最小权限模型​​，该模型允许授权用户仅访问执行其工作职能或任务所需的信息。例如，负责维护客户记录的用户帐户无需访问其他员工的财务记录。

令人惊讶的是，《2019 年全球数据风险报告》显示，超过 22% 的文件夹向所有员工开放。这些文件夹可能包含敏感数据，恶意的内部人员可能会利用这些文件夹在其组织内进行数据泄露。因此，实施最小特权访问模型至关重要。

在某些情况下，如果用户需要管理员权限或更高权限才能访问特定数据，则只需在完成任务所需的最短时间内提供该权限即可。最小权限模型​​可以显著减少未经授权或不当使用网络权限可能造成的危害范围。

8. 开展安全应用程序开发培训

随着数据泄露事件频发，网络安全专业人员努力掌握最新技术和工具，以确保应用程序或系统的安全。但维护软件安全的责任不仅仅在于安全团队。

定期举办有关安全应用程序开发的培训课程，让开发人员了解安全编码，以及如何使用它来改进软件开发流程，同时减少代码漏洞。

安全的应用程序开发将有助于在开发过程的早期识别和减轻风险，从而进一步降低数据泄露和网络攻击的可能性。

9. 管理你的弱点

安全代码审查可能会发现一系列安全风险和漏洞。识别、评估、缓解并报告系统及其运行软件中的这些安全漏洞至关重要。

管理漏洞对于组织确定潜在威胁的优先级并尽量减少攻击面至关重要。

一些扫描工具还包含漏洞修复功能，根据漏洞的风险和严重程度对其进行分类和排序。这通常是通过将漏洞与安全策略进行比较来完成的。

应用程序的每一次更改都可能带来软件中出现潜在漏洞的风险，这些漏洞可能会被攻击者利用。这可能会影响您公司的市场声誉和信誉。

最后的想法

安全代码审查是一个耗时的过程，可以利用自动化工具的优势和安全专业人员的专业知识来有效地执行。

安全的代码审查通常能揭示代码中的诸多奥秘。除了发现新的安全风险或学习新技术之外，您还可以检查开发团队的编码方式。您可以采用更好的实践，进行更精准、更有效的代码审查。

这篇文章最初发表于CypressDataDefense.com。