Стандарты программирования

Обзор

ПО не становится безопасным само по себе. Для этого требуется согласованное применение соответствующих методик по всей организации. Эти методики разрабатываются согласно установленным политикам, принципам и задачам. Целью является создание безопасного кода: Oracle требует, чтобы все разработчики соблюдали принципы программирования, которые должны быть сформулированы, донесены до сотрудников и закреплены средствами обучения.

Гарантии безопасности на протяжении всего жизненного цикла разработки продукта

Чтобы гарантировать, что продукты Oracle разрабатываются со стабильно высоким уровнем безопасности и чтобы помочь разработчикам избежать распространенных ошибок программирования, Oracle применяет формальные стандарты программирования.

Стандарты написания защищенного кода Oracle представляют собой план и руководство по созданию защищенного кода для разработчиков. В них описываются общие области знаний в сфере безопасности, такие как принципы разработки, криптография, коммуникационная безопасность, распространенные уязвимости и т. д., а также даются конкретные рекомендации по различным темам, таким как подтверждение данных, командные интерфейсы CGI, управление пользователями и многое другое.

Все разработчики Oracle должны знать эти стандарты и применять их при проектировании и создании продуктов. Стандарты написания кода разрабатывались в течение многих лет и включают лучшие практики, а также опыт, полученный в результате непрерывного тестирования на уязвимости, которое выполняется внутренним отделом оценки продуктов Oracle. Oracle гарантирует знание стандартов разработчиками благодаря обязательному обучению написанию защищенного кода. Стандарты безопасного программирования являются ключевым компонентом гарантии защищенности ПО Oracle Software Security Assurance, и соответствие стандартам оценивается и проверяется в течение всего срока службы всех продуктов Oracle, обеспечиваемых поддержкой.

Динамический характер стандартов программирования

Стандарты написания защищенного кода Oracle развивались и расширялись с течением времени, чтобы охватить самые распространенные проблемы с кодом Oracle, полученные знания и опыт, новые угрозы по мере обнаружения, а также новые сценарии использования клиентами Oracle. Стандарты написания защищенного кода не существуют в вакууме и не применяются к разработкам постфактум. Они являются неотъемлемой частью стандартов языков программирования C/C++, Java, PL/SQL и других, а также основой программ и процессов гарантии безопасности ПО Oracle Software Security Assurance.

Важность обучения разработчиков

За прошедшие годы в Oracle была разработана собственная система обучения на основе стандартов написания защищенного кода. Oracle предоставляет такое обучение в рамках своей организации разработки продуктов, включая разработчиков, а также сотрудников, отвечающих за управление продуктами, управление релизами и контроль качества, на постоянной основе. Обучение предназначено не только для отдельных разработчиков; руководители, вплоть до вице-президентов, также должны пройти курсы по безопасному программированию. Постоянный процесс обучения помогает разработчикам знакомиться со всеми аспектами программирования и понимать высокие стандарты Oracle относительно качества продуктов.