编码标准

概述

安全的软件不会自动生成, 它需要企业在整个组织范围始终如一地应用相同的方法,而这些方法应符合规定的政策、目标和原则。 其目标是生成安全的代码: Oracle 要求所有的开发都遵循既定的安全编码原则,且这些原则已传达给员工并确保员工接受了相应培训。

在整个产品开发生命周期中提供安全保证

为了确保 Oracle 产品开发始终具备高安全性保证,帮助开发人员远离常见的编码错误,Oracle 采用了一系列正式的安全编码标准。

Oracle 安全编码标准为开发人员的安全编码工作提供了一个路线图和指南, 它们涵盖了设计准则、加密和通信安全、常见漏洞等一般安全知识,并就数据验证、CGI、用户管理等主题提供了具体指导。

在 Oracle,所有开发人员都应熟悉并将这些标准应用于产品设计和构建工作。 此外,这些编码标准经过多年的完善,不仅融入了优秀实践,还不断纳入了 Oracle 内部产品评估团队在漏洞测试中总结下来的经验。 对此,Oracle 要求所有开发人员都参加安全编码培训,确保他们熟悉企业的编码标准。 Oracle 安全编码标准是 Oracle 软件安全性保证的重要组成部分,任何 Oracle 产品在其支持生命周期内都会接受评估和验证以确保其遵循该标准。

安全编码标准的动态性

Oracle 安全编码标准经过不断发展和扩充,能够反映影响 Oracle 代码的常见问题、见解和经验教训、发现的新威胁以及 Oracle 客户的新用例, 它们不是凭空而生,也不是软件开发的事后补充。 此外,它们还是 C/C++、Java、PL/SQL 等语言特定标准不可或缺的组成部分,是 Oracle 软件安全性保证计划和流程的基石。

开发人员培训的重要性

多年以来,Oracle 在企业内部基于安全编码标准制定了训练课程, Oracle 不断将培训提供给产品开发组织,包括开发人员以及产品管理、发布管理和质量保证人员。 而且,这些培训不仅局限于专业人士,还包括了经理以上(包括副总裁)的企业人员。 这种持续的培训有助于确保开发人员全方位彻底地熟悉安全编码,了解 Oracle 为打造安全产品设立高标准的初心。