近年来，随着政府与社会数字化进程的快速推进，信息系统遭受黑客攻击所产生的网络安全隐患日趋严峻，例如去年年末爆发的 Log4j 高危漏洞以及近期出现的 Spring Framework 远程执行代码 （CVE-2022-22965），几乎影响了全球绝大多数软件，给行业带来巨大损失。如何在不同开发模式下融合安全规范和能力，构建高效、安全的软件开发体系，势在必行。

为提升信息系统的安全性能，增强应对黑客以及不法分子攻击的能力，网新软件质量管理部连同研发中心共同发布并宣贯《安全开发规范》，旨在通过在各阶段开发过程中融入安全规则与要求，赋能开发团队，提高安全开发能力及效率，构筑安全屏障。

（一）安全功能实现

以信息系统的设计开发过程为着手点，从输入验证、输出净化、敏感数据加密与保护、访问控制、会话管理、日志安全等6个安全技术点进行全面阐述，要求信息系统必须通过身份鉴别来识别用户，并确保验证过程是安全的，保护用于跟踪已验证用户的会话处理机制，同时要求对输入及输出的数据和参数进行校验和编码，防止恶意输入。此外，还要考虑敏感数据的保护和用户的权限管理，以及所有操作的日志安全。

（二）代码实现安全

《规范》中涵盖了“面向对象程序安全、并发程序安全、函数调用安全、异常处理安全”4个方面的编程规范，来保障代码的安全性。

（三）资源使用安全

应用程序中所使用的各种资源，包括数据库、文件、网络等，都必须要进行安全管理，保证系统中的每个资源具有唯一的标识符。在完成使用或者使用中途出现错误异常退出时，能正确地释放所用的资源，对分配的资源数量、使用权限、有效时间等做限制，防止消耗过多资源。

（四）环境使用安全

《规范》详细框定了如何安全地选择、下载、使用第三方软件，强调定期安全检测，以避免使用存在高危漏洞的版本；明确在信息系统建设过程中，需要构建安全的开发环境及生产环境，确保物理隔离，只提供给授权的开发和测试团队访问等限定条件。

目前，《规范》已在网新软件多地项目中开展落地实践，助力加快系统安全上线，实现业务与安全的融合。各地项目组通过培训、实操、自评、专家评审等手段，逐步提升开发过程安全能力。网新软件将持续致力于建设软件安全保障体系，围绕信息系统的生命周期，实现纵深防御，保障客户的业务和数据安全，让安全真正创造效益。