原标题:武汉地域SE沙龙第二期——安全代码review方法学习
Part1
1
继6月26日开展的SE第一期沙龙——安全编码TOP问题之后,武汉地域于7月11日晚19:00—20:30又开展了第二期SE沙龙,此次沙龙的主题是——安全代码review方法学习。
2
此次给我们赋能的SE专家是流程IT业务线的SE专家——任泉。对于安全代码检视,我们的态度是认真的,我们的总目标是:发挥人工检视的长处,优先检查边界或资产价值高的模块;验证重要信息资产给予足够的安全保护;做工具扫描所不擅长的检查;尽早地发现设计和代码中的问题,而不是等到项目的编码已完成;发现代码中的漏洞,消除漏洞或缓解风险。
学习代码检视方法——检视顺口溜:
入口数据不检验,污染就会传进来;
循环边界依赖它,循环挂死会复位;
数组索引使用它,数组读写就越界;
拷贝长度用到它,堆栈溢出来破坏;
内存分配用到它,资源大量被耗尽;
一定一定要记住,入口数据不可信!
Part2
3
专家赋能结束后,大家的热情不减,立马投入了紧锣密鼓的第二轮活动,知识竞赛答题。现场的近一百名同事,有的为了第一时间抢夺先机,直接站起来阅题,生怕被其他人拨了头筹。小组内分工明确,有的人负责答题,有的人负责测算,有的人负责统筹,整个沙龙现场点兵,热火朝天。
4
最终环节,经过大家近两个小时的努力,消费者业务线硬件测试交付部的曾诚带领第二小组的成员突破重围,杀入了冠军组,拨得头筹。用他上台发言说的一句话总结:加班培训学习,还意外地获得了第一名。其实人生就是这样,有些意外收获并不单纯依靠运气,机遇从来不会错失每一个认真努力的人!正如我们的安全代码检视态度:有的放矢,箭箭穿心。
5
我们承诺:安全编码是态度,更是行动!
责任编辑: