常见的一些代码安全检查

1. 目的

代码安全是指对软件代码进行有效保护和控制，以防止恶意攻击和数据泄露。代码安全的描述有以下几个目的：

1. 防止黑客攻击：通过采取安全措施，如输入校验、身份验证、加密等，保护代码免受黑客攻击，防止恶意用户利用漏洞或弱点对系统进行非法访问、篡改或破坏。
2. 保护数据安全：通过对代码进行安全性评估和测试，确保代码对用户输入的数据进行正确的处理和过滤，防止恶意代码注入、跨站脚本攻击等对数据的窃取或篡改。
3. 避免代码漏洞：通过代码审查和静态分析，及时发现和修复代码中的漏洞和错误，提高代码的质量和安全性。避免因代码错误导致系统崩溃、数据丢失等安全问题的发生。
4. 保护知识产权：对代码进行保密措施，防止代码的盗用和非法传播，保护软件的知识产权和商业利益。
5. 合规性要求：根据法律法规、行业标准和安全要求，对代码进行合规性审核和改进，确保代码符合相关安全标准和要求。

综上所述，代码安全的描述有目的是为了保护软件系统免受黑客攻击、保证数据安全、避免代码漏洞、保护知识产权以及满足合规性要求。这些目的旨在提高代码的安全性和可信度，保护软件系统和用户的利益。

2. 开发规范

2.1. 代码格式和命名规范

使用一致的缩进、空格和换行，使用有意义的变量、方法和类名，遵循驼峰命名法等。

2.1.1. 代码注释和文档

为代码和代码块添加必要的注释，解释代码的功能、用途和实现细节，使用自动生成的API文档。

2.1.2. 代码结构和组织

按照功能和模块将代码组织为包，遵循单一责任原则和高内聚低耦合的设计原则。

2.1.3. 异常处理和错误处理

使用trycatch块捕获和处理异常，避免异常和错误的输入。

2.1.4. 并发编程

正确使用线程和锁，避免并发访问共享资源导致的竞态条件和死锁。

2.1.5. 安全性和数据保护

处理敏感数据时使用加密算法，避免SQL注入和跨站脚本攻击等安全漏洞。

2.1.6. 性能优化

避免不必要的循环和重复计算，使用适当的数据结构和算法，合理使用缓存和多线程提高性能。

2.2. 敏感数据存储规范

项目组存在的敏感数据主要包括用户敏感信息、用户附件信息及相关授权信息。

2.2.1. 用户敏感信息

如姓名、身份证号码、护照号码、手机号码、邮箱地址、联系地址、银行卡号、信用卡号、支付宝账号、微信支付账号；用于登录和访问个人账号的信息；

2.2.2. 用户敏感附件

如身份证、护照、驾驶证、学历证书、学位证书、工作合同、劳动合同、银行卡对账单、信用卡账单、税务文件、财务报表等；

2.2.3. 授权敏感信息

如第三方登录信息（电子令牌、appkey、appid、用户名、密码）、社交媒体信息、金融数据授权；

2.2.4. 公/私钥敏感信息

如支付宝/微信/银联或者其它第三方接口提供的公/私钥信息等。

应在收集、存储和处理敏感信息时，保护用户信息的安全和隐私。具体而言，敏感信息存储规范包括以下几个方面：

1. 加密：对敏感信息进行加密处理，确保数据在传输和存储过程中的机密性，防止未经授权的访问。同时，对于需要代码调用的敏感信息不能硬编码明文存储，要使用国产加密算法256位以上方式进行存储。若非其它技术要求，应公/私钥分离且加密存储至相关安全文件区域。
2. 隔离：将敏感信息与其他非敏感信息分开存储，在物理和逻辑上进行隔离，限制访问权限，降低风险。
3. 安全审计：建立安全审计机制，对敏感信息的访问、修改和删除等操作进行记录和监控，及时发现和处理异常行为。
4. 权限控制：通过访问控制策略，对不同角色和用户设置不同的权限，限制对敏感信息的访问和操作。
5. 合规性要求：遵循法律法规和行业标准，确保敏感信息存储和处理的合规性，包括个人隐私保护法规、数据保护法规、安全认证和合规标准等。

2.3. 安全检查

代码安全检查包括以下几个方面：

2.3.1. 防止代码注入

代码注入是指攻击者通过篡改输入或代码中的特殊字符来执行恶意代码。为了防止代码注入攻击，需要对用户输入进行验证和过滤，以及采用安全的编码规范，如使用参数化查询、避免拼接SQL语句等。

2.3.2. 防止跨站脚本攻击(XSS)

跨站脚本攻击是指攻击者通过在网页上注入恶意脚本，获取用户权限或窃取用户敏感信息。为了防止XSS攻击，需要对用户输入和输出进行过滤和转义，避免将用户输入作为HTML代码插入到网页中。

2.3.3. 防止跨站请求伪造(CSRF)攻击

跨站请求伪造是指攻击者通过欺骗用户点击恶意链接，伪造用户请求，以获取用户权限或执行非法操作。为了防止CSRF攻击，应该采用一些防御措施，如使用验证码、携带Token验证等。

2.3.4. 防止代码泄露

代码泄露是指将源代码或敏感信息泄露给攻击者，导致系统被攻击。为了防止代码泄露，需要采取一些安全措施，如限制代码的访问权限、加密代码、定期检查和修复漏洞等。

2.3.5. 数据加密和安全传输

在代码中处理敏感数据时，应该进行适当的数据加密，确保数据在存储和传输过程中的安全性。可以使用加密算法对敏感数据进行加密，并使用安全的通信协议（如HTTPS）来保证数据的安全传输。

2.3.6. 强化访问控制

在代码中对用户权限进行控制，只允许合法的用户访问和操作系统中的敏感信息。需要进行身份验证、授权验证和访问控制等措施，确保只有授权的用户才能进行操作。

2.3.7. APP加固

在开发完成后，在测试期内可提供相关非加固包给到安全测评人员进行测评，测评完成后及后续发版必须进行加固后才可发布。

2.3.8. 弱密码

密码强度要求必须符合：大小写字母+数字+特殊字符；

2.3.9. 测试帐号

严格控制测试帐号使用场景和测试帐号在正式环境的授权范围及停/启用。安全供防期间，必须停用所有测试帐号。

2.3.10. 帐号锁定

攻防期间，所有帐号输入次数3次即锁定。平常期间，5次锁定。错误次数通过配置项管理；