首页 >> 关于我们 >> 新闻动态

从xcodeghost事件,谈谈产品发布安全管理的8条重要原则

联软科技
2022年11月09日

2015年9月14日,国家互联网应急中心发布预警,主要内容是“CNCERT监测发现,开发者使用非苹果公司官方渠道的XCODE工具开发苹果应用程序(苹果APP)时,会向正常的苹果APP中植入恶意代码。被植入恶意程序的苹果APP可以在App Store正常下载并安装使用。该恶意代码具有信息窃取行为,并具有进行恶意远程控制的功能”。

这一惊人消息很快被传播,特别是很多重量级公司的重要产品(例如微信)也中招,更是令人恐慌。所有互联网公司都在慌张的自查和修补漏洞。然而,这几天联软研发中心却一片平静,波澜不惊,这得益于我们12年来一直贯彻执行的可靠、有效的产品发布安全管理规范,在这里我们简单分享一下其中最重要的8条原则:

  1. 所有的开发环境、工具、相关软件等都必须从官方下载,并且保证是正版,不运行盗版软件、注册机和破解补丁。
  2. 产品编译打包发布必须由经验丰富的专人在特定的内网机器上完成,不允许私自发布产品。开发人员只能提交源代码,不允许提交可执行文件。
  3. 不使用没有源代码的第三方库,不使用不经过充分验证的开源代码。
  4. 所有发布的二进制组件必须使用有效证书签名,并且发布的应用有自检功能,发现被篡改后立即停止运行并警告。
  5. 如果要到被封锁的国外网站(例如Google)下载源代码,可以先到其他国家或地区(例如日本、香港)购买专用中转服务器,先下载到中转服务器,再通过加密通道传回中国大陆。中转服务器的一切必须由自己控制,不允许使用免费的或没有相关资质的代理服务器和相关软件。
  6. 所有相关机器必须打上最新的系统补丁和软件补丁,特别是开发工具的补丁。
  7. 所有开发和测试工程师必须定期接受安全培训。
  8. 在自身能力许可下,尽量保证独立研发,以避免滥用开源代码。

 

 

最新动态

  • 再突破!联软中标某大型乳业公司桌面安全管理系统建设采购项目

  • 开放协同 共筑网安新生态| 资本市场金融科技2024年度创新交流会网络安全专题研讨会圆满举行

热门推荐