欢迎来到天天文库
浏览记录
ID:20253071
大小:283.36 KB
页数:10页
时间:2018-10-11
《java安全编码高级课程new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、信息系统安全开发培训方案Java安全编码高级课程Copyright©2011谷安天下科技版权所有10http://www.gooann.com信息系统安全开发培训方案《Java安全编码》课程说明在以往的信息系统生命周期中,安全维护的工作压力主要集中在运营阶段,安全问题发现得较晚,安全损失与弥补的代价大。GooAnn认为应当在信息系统开始规划阶段就会全面考虑系统安全问题,实施各种安全控制措施,从而达到早预防,节省成本的效果。开发过程中的安全编码是其中很重要的方面。谷安研究人员通过分析数以千计的漏洞报告,常见的编程错误会带来系统的很多安全漏洞。软件开发人员可以通过识别不安全的编码,
2、在开发过程中注意安全编码,显著减少或消除在部署之前的漏洞。我们努力研究和总结常见的编程错误所导致的软件漏洞,帮助客户建立安全编码标准,教育软件开发人员,从而保证软件的安全。谷安将陆续推出Java/JEE、C/C++、.net、PHP、Andriod、iOS等安全编码高级课程,敬请期待!Copyright©2011谷安天下科技版权所有10http://www.gooann.com信息系统安全开发培训方案培训内容培训内容时间主题内容培训目标第一天上午(9:00--12:00)培训开始讲师与学员自我介绍课程目标介绍课程内容介绍使学员了解培训的目标和内容数据验证系列军规数据验证系列军规
3、军规A0:清理验证跨安全域非信任的数据军规A1:验证前使字符串归一化军规A2:路径验证前对其进行标准化处理军规A3:防范日志注入攻击军规A4:防范ZIP炸弹攻击军规A5:使用ASCII码的子集作为文件路径名军规A6:从格式化串中去除用户输入数据军规A7:防范命令行注入攻击军规A8:清理正则表达式中不可信输入数据军规A9:防范地区敏感的字符串操作错误军规A10:不要通过byte数组进行字符切割军规A11:验证前删除非字符码点军规A12:在不同字符编码格式之间执行无损转换军规A13:在文件与网络IO操作的两端采用兼容的字符编码格式了解系统输入数据验证过程中的安全注意事项,以及转换和
4、传输过程中的安全注意事项类声明与初始化系列军规军规B0:阻止类的初始化循环军规B1:不要重用Java标准库中的公开标识符军规B2:将增强for循环中的变量声明为final了解对象声明与初始化过程中安全陷阱与防范方法Copyright©2011谷安天下科技版权所有10http://www.gooann.com信息系统安全开发培训方案表达式系列军规军规C0:不要忽视方法的返回值军规C1:不要引用空指针军规C2:使用具有双参数的Array.equals()比较两个数组的内容军规C3:比较初始类型值的包装对象时不要使用==和!=操作符军规C4:确保自动包装产生正确的对象类型军规C5:不
5、要在同一个表达式中对同一个变量进行多次更改军规C6:不要调试断言中使用具有副作用的表达式了解表达式安全注意事项第一天下午(13:30--17:30)数值运算系列军规军规D0:整数溢出的检查与预防军规D1:不要对同一数据同时执行位操作和数据运算操作军规D2:避免除法或求余运算中除数为0军规D3:使用能覆盖无符号整数范围的整型数据来读取JNI无符号数据军规D4:float浮点数不能满足精确计算要求军规D5:不要使用非正常浮点数军规D6:浮点数运算跨平台一致性军规D7:不要试图与NaN进行比较军规D8:检查浮点数输入中的异常情况军规D9:不要使用浮点数为循环计数器军规D10:不要使用
6、阿拉伯数字表达的浮点数构造BigDecimal对象军规D11:不要与浮点数字符串进行比较军规D12:保证降低转化不会导致数据损失或数据错误军规D13:转变整数为浮点数时避免损失精度了解数字类型变量声明和操作中的各种安全问题及其防范方法Copyright©2011谷安天下科技版权所有10http://www.gooann.com信息系统安全开发培训方案面向对象系列军规军规E0:限制对有固定逻辑的类和方法进行扩展军规E1:宣称属性值为private并提供属性访问方法军规E2:更新父类时保持子类的依赖性军规E3:不要在新代码中把简单类型和泛化类型混用军规E4:为易变对象提供Copy方
7、法军规E5:返回内部易变属性的copy军规E6:保护性复制易变输入对象和内部对象军规E7:敏感类应该有防复制功能军规E8:不要将外层类的私有属性在嵌套类中暴露军规E9:比较类本身而非类名军规E10:不要使用publicstatic变量军规E11:不要让构造函数抛出异常了解对象声明,继承,传递过程中的各种安全问题及其防范方法对象方法系列军规军规F0:验证方法的输入参数军规F1:不要使用assert验证输入参数军规F2:不要使用废弃的或过期的类和方法军规F3:执行安全检查的方法必须要声明为pri
此文档下载收益归作者所有