Software Security Assurance

Oracle Software
Security Assurance

安全配置

介紹

組織安全狀態的漏洞通常可以追溯到不安全的軟體配置,而不一定是由於它使用軟體中的設計或程式碼錯誤。 不安全配置的例子,包括將預設配置設為可供所有系統用戶訪問的敏感的資料文件、或具有管理員帳戶帶有預設密碼的的軟體。 Oracle’安全配置標準,要求產品和雲端服務預設為具有安全配置。

安全配置要求

預設情況下,Oracle產品和服務必須是安全的。 產品和服務應僅安裝必要組件以執行其預期功能。 預設情況下,不應安裝任何部署至線上環境的功能,例如範例內容、預設帳戶和除錯工具。 這通常被稱為最小化攻擊面。 預設情況下,產品或服務應僅使用安全協議和演算法。

大多數Oracle產品依賴於其他產品或組件。 例如,如果應用程式需要資料庫,則應用程式開發人員應了解所需的資料庫功能,並建議僅安裝基本組件。 操作系統中包括不是所有應用程式都需要的許多功能或服務。 應用程式開發人員必須確定需要哪些服務,並禁用其他服務。

雲端安全配置

雲端服務部署在特定配置或少量配置中。 此配置的安全性應該由開發團隊從設計階段即開始規劃。 實現該服務的開發人員需要了解其計劃配置。 必須在此配置中對產品執行測試,並在與線上環境相同的環境中執行預部署測試。

雲端開發團隊需要以自動、完全安全的配置將服務提供給雲端營業團隊。 使用Docker或自動部署管道等容器,可幫助開發團隊滿足此要求。

開發組織必須具備可以根據安全配置評估雲端服務的安全配置的能力。並可以在一組實例中,以自動、高效率、一致和可靠地針對安全配置標準評估雲端服務的安全配置。


瞭解詳情