《安全规则集合》,简称《安规集》,是一部面向安全编程的实用指南,由360质量工程部编著,其特点有:
- 满足规范、审计、培训等多方面需求
- 注重自动化代码审计的实现方法
- 严格遵循ISO/IEC标准
- 融汇多种权威规范体系
- 适用于桌面、服务端及嵌入式等多种应用场景
目前已收录413个规则,相当于用413篇文章详细阐述了软件开发相关的各种注意事项,在国内互联网界尚属首创!现面向互联网发布:
https://github.com/Qihoo360/safe-rules
来吧!!点开幸运的小星星!拯救互联网的重任就交给大家了!~
《安规集》强调逆向思维,直接阐明各种问题,阅读《安规集》是快速扩展编程经验的有效途径。阅读这一部著作,也相当于阅读了C++ Core Guidelines、MISRA、SEI-CERT等知名规范体系,而且《安规集》用流畅的中文进行了独到的阐述,内容全部免费!
《安规集》不仅面向开发团队,同时也面向DevOps及QA等团队,为落实安全、严谨、高效的产品研发环境提供核心指导意见。
《安规集》的一个主要目的是指导自动化代码审计工具的实施,每一条规则可对应一条审计检查点,在规则说明中也体现了检查方法,下面给出两个例子,是按相关规则发现的Python项目的问题,Python团队也据此进行了修正。
ID_illIdentical
https://bugs.python.org/issue44389
“按位或”表达式中出现了重复的子表达式,这是没有逻辑意义的,且子表达式与安全选项有关,经Python团队的排查确认是漏写了一个重要的安全选项。
ID_inconsistentFormatArgNum
https://bugs.python.org/issue44391
格式化字符串中的占位符与实际参数的个数不符,这意味着逻辑错误,也会导致标准未定义的行为。
由于篇幅所限,就先介绍到这里了,再次亮出项目地址:
https://github.com/Qihoo360/safe-rules
欢迎提供修订意见和扩展建议,点开幸运的小星星~ 留下精妙的见解,当然,最好再fork一下~
此致
祝编程愉快!
