软件安全开发编码法律规范1.代码编写1)开发人员应保证工程中不存在无用的资源(如代码、图片文件等)。2)代码中每个类名上的注释必须留下创建者和修改者的名字。3)每个需要 import 的类都应使用一行 import 声明,不得使用 import xxx.*。4)System.out.println()仅在调试时使用,正式代码里不应出现。5)开发人员编写代码时应遵循以下命名规则:Package 名称应该都是由一组小写字母组成;Class 名称中的每个单词的首字母必须大写;Static Final 变量的名称全用大写,并且名称后加注释;参数的名称必须和变量的命名法律规范一致;使用有意义的参数命名,假如可能的话,使用和要赋值的字段一样的名称。6)代码应该用 unix 的格式,而不是 windows 的。7)exit 除了在 main 中可以被调用外,其他的地方不应被调用。8)代码中应尽量使用 interfaces,不要使用 abstract 类。9)在需要换行的情况下,尽量使用 println 来代替在字符串中使用的"\n"。10) 涉及 HTML 的文档,尽量使用 XHTML1.0 transitional 文件类型,其中所有 HTML标签都应关闭。11) 在 HTML、JavaScript、XML 代码中,缩进应为两个空格,不得使用 Tab。12) HTML 标签的 name 和 id 属性的命名方式应与 Java 变量名相同。13) 在需要常常创建开销较大的对象时,开发人员应考虑使用对象池。14) 在进行 log 的猎取时开发人员应尽量使用 isXXXEnabled。15) log 的生成环境上尽量避开输出文件名和行号。16) 产品中不要包含后门代码,隔离系统中的后门代码,确保其不能出现在产品中。作为一种特别的调试代码,后门访问代码是为了使开发者和测试工程师访问一部分终端用户不能访问的程序代码。但是,假如后门代码被留到产品中,对攻击者来说,它就是一条不需要通过正常安全手段来攻陷系统的通路。2.JAVA 安全遵循下面列出的准则有利于编写更加安全的代码。但是总体来说,这些准则不能对安全性做出任何保证。遵循这些准则可能好的实践,但是即使遵循了这些准则,写出的代码仍然可能是不安全的。风险永远存在,不管在编写代码时是如何的警觉。这些准则的目标,不是为了保证代码的安全性,而是为了消除若干特定类型攻击带来的风险。遵循这些准则,某些特定类型的攻击将无法实现;但是其它类型的攻击仍然可能成功。因此遵循这些准则仅仅是安全的第一步。当书写可能和非守信链接或混用的代码时,应当认真的考虑如下准则:静态字段缩小作用...
