2019-05-18老师问一个有关code review的问题,code review是指把代码放到大屏幕上大家一起看呢?还是类似github上的合并代码的时候发个pr,然后另一个人对需要合并代码进行检查呢?检查通过后才同意合并请求作者回复: 我觉得两种都算Code Review,只是形式不一样。
通常PR这种Code Review应该是贯穿到日常开发过程中的,每个人都可以去Review,有1-2个人Review通过就可以。合并的话不止是Code Review通过,还需要自动测试通过。
而大屏幕这种参与人多,成本高,属于偶尔针对特殊故障分析、学习研讨等目的才做的。 4- 2019-05-20据我所知,安全测试也分白盒测试和黑盒测试两种,黑盒测试可以用fortify或appscan 来查,白盒测试可以通过code review来完成。在代码方面,写许多规范,即使写得很全,如果用手工测试,也很难确定开发人员是否真的按规范来写代码。所以,一般使用code review的工具来做。老师有没有好的安全代码检查的工具推荐?
作者回复: 我印象中Fortify也是可以做静态代码检查的。
除了Fortify和AppScan,我知道的还有Veracode、Checkmarx和CodeSecure。
但我没有实际用过,无法推荐哪个更合适。 3 
2019-05-22订单和支付系统的那个例子里,支付系统的结果是返回给客户端,然后由客户端自己校对结果和订单或者把返回结果传给订单服务器校对吗?
这样还是很不安全啊。为什么不是把支付结果返回给服务端呢?作者回复: 支付系统通过客户端返回订单系统,订单系统收到后需要再次根据订单跟支付系统确认,之前的漏洞就是出现在这个确认环节,只确认了是否收到,没有确认金额对不对。
2
2019-05-18与风险管理一样,安全管理也需要从整个工程建设过程中整体考量。站在业务管理者角度,提高系统安全性的措施,可以在业务需求方面尽量避免安全负责度高的方案,在参与技术选型时尽可能兼顾安全要求。作者回复: 👍谢谢总结分享
2
2019-05-23结合安全开发生命周期(SDL)就更好了。作者回复: 👍谢谢娄老师补充。
1
2019-10-02所有的Bug都是风险,属于技术风险范畴。作者回复: 👍