Java安全编码高级课程
信息系统安全开发培训方案
《Java安全编码》课程说明
在以往的信息系统生命周期中,安全维护的工作压力主要集中在运营阶段,安全问题发现得较晚,安全损失与弥补的代价大。GooAnn认为应当在信息系统开始规划阶段就会全面考虑系统安全问题,实施各种安全控制措施,从而达到早预防,节省成本的效果。开发过程中的安全编码是其中很重要的方面。
谷安研究人员通过分析数以千计的漏洞报告,常见的编程错误会带来系统的很多安全漏洞。软件开发人员可以通过识别不安全的编码,在开发过程中注意安全编码,显著减少或消除在部署之前的漏洞。我们努力研究和总结常见的编程错误所导致的软件漏洞,帮助客户建立安全编码标准,教育软件开发人员,从而保证软件的安全。
谷安将陆续推出Java/JEE、C/C++、.net、PHP、Andriod、iOS等安全编码高级课程,敬请期待!
Copyright ? 2011 谷安天下科技 版权所有 2 http://www.gooann.com
信息系统安全开发培训方案
培训内容
培 训 内 容 时 间 主 题 培训开始 内 容 讲师与学员自我介绍 课程目标介绍 课程内容介绍 数据验证系列军规 军规A0:清理验证跨安全域非信任的数据 军规A1:验证前使字符串归一化 军规A2:路径验证前对其进行标准化处理 军规A3:防范日志注入攻击 军规A4:防范ZIP炸弹攻击 军规A5:使用ASCII码的子集作为文件路径名 军规A6:从格式化串中去除用户第一天 上午 (9:00 -- 12:00) 数据验证系列军规 输入数据 军规A7:防范命令行注入攻击 军规A8:清理正则表达式中不可信输入数据 军规A9:防范地区敏感的字符串操作错误 军规A10:不要通过byte数组进行字符切割 军规A11:验证前删除非字符码点 军规A12:在不同字符编码格式之间执行无损转换 军规A13:在文件与网络IO操作的两端采用兼容的字符编码格式 军规B0:阻止类的初始化循环 类声明与初始化系列军规 军规B1:不要重用Java标准库中的公开标识符 军规B2:将增强for循环中的变量声明为final 了解对象声明与初始化过程中安全陷阱与防范方法 了解系统输入数据验证过程中的安全注意事项,以及转换和传输过程中的安全注意事项 使学员了解培训的目标和内容 培 训 目 标 Copyright ? 2011 谷安天下科技 版权所有 3 http://www.gooann.com
信息系统安全开发培训方案
军规C0:不要忽视方法的返回值 军规C1:不要引用空指针 军规C2:使用具有双参数的Array.equals()比较两个数组的内容 军规C3:比较初始类型值的包装表达式系列军规 对象时不要使用==和!=操作符 军规C4:确保自动包装产生正确的对象类型 军规C5:不要在同一个表达式中对同一个变量进行多次更改 军规C6:不要调试断言中使用具有副作用的表达式 军规D0:整数溢出的检查与预防 军规D1:不要对同一数据同时执行位操作和数据运算操作 军规D2:避免除法或求余运算中除数为0 军规D3:使用能覆盖无符号整数范围的整型数据来读取JNI无符号数据 军规D4:float浮点数不能满足精确计算要求 军规D5:不要使用非正常浮点数 第一天 下午 (13:30 -- 17:30) 数值运算系列军规 军规D6:浮点数运算跨平台一致性 军规D7:不要试图与NaN进行比较 军规D8:检查浮点数输入中的异常情况 军规D9:不要使用浮点数为循环计数器 军规D10:不要使用阿拉伯数字表达的浮点数构造BigDecimal对象 军规D11:不要与浮点数字符串进行比较 军规D12:保证降低转化不会导致数据损失或数据错误 军规D13:转变整数为浮点数时避免损失精度 了解数字类型变量声明和操作中的各种安全问题及其防范方法 了解表达式安全注意事项
Copyright ? 2011 谷安天下科技 版权所有 4 http://www.gooann.com
信息系统安全开发培训方案
军规E0:限制对有固定逻辑的类和方法进行扩展 军规E1:宣称属性值为private并提供属性访问方法 军规E2:更新父类时保持子类的依赖性 军规E3:不要在新代码中把简单类型和泛化类型混用 军规E4:为易变对象提供Copy方法 军规E5:返回内部易变属性的面向对象系列军规 copy 军规E6:保护性复制易变输入对象和内部对象 军规E7:敏感类应该有防复制功能 军规E8:不要将外层类的私有属性在嵌套类中暴露 军规E9:比较类本身而非类名 军规E10:不要使用public static变量 军规E11:不要让构造函数抛出异常 军规F0:验证方法的输入参数 军规F1:不要使用assert验证输入参数 军规F2:不要使用废弃的或过期的类和方法 军规F3:执行安全检查的方法必须要声明为private或final 军规F4:不要增加被覆盖、隐藏方法的可见性 军规F5:保证构造函数不要调用对象方法系列军规 可覆盖方法 军规F6:不要在clone()函数中调用可覆盖方法 军规F7:不要去声明一个隐藏超类或超接口方法的类方法 军规F8:保证相等的对象在运算时保持相等性 军规F9:equals()方法和hashCode()方法应该同时定义 军规F10:实现compareTo()方法时要满足一般约定 军规F11:确保用于比较操作的键了解类方法实现过程中的各种安全问题及避免方法 了解对象声明,继承,传递过程中的各种安全问题及其防范方法
Copyright ? 2011 谷安天下科技 版权所有 5 http://www.gooann.com
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说教育文库Java安全编码高级课程在线全文阅读。
相关推荐: