7.5.4  安全監(jiān)理

1.安全監(jiān)理工作內(nèi)容

安全監(jiān)理的主要作用是：檢查和控制開發(fā)流程，確保開發(fā)流程中各項安全措施的遵守。 安全監(jiān)理應(yīng)該由第三方擔(dān)任，可以外包，也可以由公司的其他部門承擔(dān)，不應(yīng)由開發(fā)者擔(dān)任這個角色。安全監(jiān)理的內(nèi)容主要包括如下五部分。

1)開發(fā)環(huán)境的安全性

主要檢查內(nèi)容包括：項目文檔、代碼存放是否安全；是否有完善的備份制度；是否有災(zāi)難恢復(fù)機(jī)制；項目文檔和代碼的訪問是否受控；是否有代碼和文檔的版本管理；開發(fā)的網(wǎng)絡(luò)環(huán)境是否安全；開發(fā)人員使用的郵件組是否安全。

2)開發(fā)流程的安全性檢查和評估

主要檢查內(nèi)容包括：程序員是否使用了“危險”的代碼；程序員的函數(shù)是否都檢查了人口參數(shù)的合法性；是否使用了未經(jīng)授權(quán)的代碼；是否對第三方代碼進(jìn)行安全性評估和測試，

就直接使用；測試用的“后門”，是否在發(fā)布版中去除；程序員是否在代碼中隱藏“惡意” 的代碼；代碼中是否有無用的代碼。

3)開發(fā)各個環(huán)節(jié)的安全性措施是否被實施

主要檢查內(nèi)容包括：是否對開發(fā)人員的郵件進(jìn)行檢查；是否檢查了代碼和文檔的訪問權(quán)限。