软件安全性保证

Oracle软件
安全性保证

安全配置

说明

组织安全状态不佳通常是不安全的软件配置所导致的,而不一定是因为所使用软件中的设计或编码错误。 非安全配置的例子包括默认配置为所有系统用户都可以访问敏感数据文件,或在软件中为预配置的管理员帐户使用默认密码。 Oracle 安全配置标准要求产品和云服务提供默认安全配置。

安全配置需求

Oracle 产品和服务需提供默认安全配置。 产品和服务应当仅安装执行其目标功能所需的基本组件。 默认情况下,不应安装任何非生产部署的特性,例如演示内容、默认帐户和调试工具。 这通常是为了尽可能减小攻击面。 默认情况下,产品或服务应当仅使用安全的协议和算法。

大多数 Oracle 产品都依赖其他产品或组件。 例如,如果一个应用需要数据库,则应用开发人员应当了解需要哪些数据库特性,并建议仅安装基本组件。 操作系统中的许多特性或服务都不是应用所需要的。 应用开发人员必须确定需要哪些服务并禁用其他服务。

云安全配置

云服务会采用特定的配置或少量配置。 开发团队应当在设计阶段计划此配置的安全性。 实现该服务的开发人员需要了解所计划的配置。 必须在此配置中对产品进行测试,并在与生产环境相同的环境中执行预部署测试。

云开发团队需要以自动化、安全无虞的配置来为云运营团队提供服务, 使用 Docker 和自动部署管道等容器来帮助开发团队满足此需求。

开发组织需要提供一个功能 — 根据安全配置基线自动、高效、一致和可靠地评估云服务的安全配置。


了解更多信息