編碼標準

總覽

安全的軟體並非偶然可得, 而是需要在組織內採用一致的方法,遵循明文政策、目標和原則。 目標是產出安全的程式碼: Oracle要求所有軟體開發都遵循已經制定、溝通,成員培訓的安全編碼原則。

產品開發週期的全盤安全保證

為了確保Oracle產品的開發具有始終如一的高安全性保證,並幫助開發人員避免常見的程式碼錯誤,Oracle採用了正式的安全編碼標準。

Oracle 安全編碼標準可以算是方向指南,協助開發人員製作安全程式碼。 上述標準探討一般安全知識領域,例如設計原則、常見弱點等,並針對特定主題提供具體指引,例如資料驗證、資料隱私、CGI、使用者管理等。

所有 Oracle 開發人員均須熟悉這些標準,並在設計、打造產品時加以應用。 程式碼編寫標準已經開發了很多年,並結合了最佳實例,以及Oracle內部產品評估團隊持續進行漏洞測試的經驗教訓。 Oracle 要求開發人員參與安全編碼的訓練,藉此確保他們都能熟悉相關編碼標準。 安全程式開發標準是Oracle Software Security Assurance的關鍵組成,Oracle所有產品的整個生命週期都遵循此標準做評估與驗證。

安全程式碼編寫標準的動態性

Oracle 安全編碼標準隨著時間演進和增加,以涵蓋最常影響 Oracle 程式碼的問題、獲取的深入見解和知識、發現的新威脅、Oracle 客戶的新使用案例。 安全編碼標準既不是存在真空,也不是軟體開發事後的附錄。 它們來自語言特定標準(如C / C ++、Java,PL / SQL等),也是 Oracle’ Software Security Assurance程序和流程的重要基礎。

開發人員訓練的重要性

多年來,Oracle 內部已根據安全編碼標準研擬出相關訓練內容。 Oracle 向其產品開發組織 (包括開發人員以及產品管理、發佈管理和品質保證人員) 提供此培訓。 訓練對象不限個別參與者;經理人員,乃至於副總裁等,都必須參加安全編碼訓練課程。 這種持續的培訓有助於確保開發人員熟悉安全程式開發的全盤概念,也有助於瞭解 Oracle 對生產安全產品具有高標準。