前言
得益于Java的完备生态,Java一直是非常热门的编程语言。但对于刚刚接触Java的开发者来说,很少会去关注安全相关的问题,没有养成良好的开发习惯,在开发过程中容易带来安全隐患。
我们在本文中总结了五条简单有效的小建议。
一、及时更新依赖组件版本
在Java开发中,开发者经常会用到各类开源组件来实现自己的功能点,但是许多开发者不常关注安全资讯,不了解开源组件的哪个版本存在什么样的漏洞,从而可能会引入安全漏洞。
所以在选择开源组件版本的时候,应优先选择最新发布的组件,因为最新版本的组件通常都会解决历史安全问题,因此使用最新版本组件可以将安全风险降到最低。
二、添加安全相关的HTTP请求头
现代浏览器已经支持很多和安全相关的请求头(header),当添加这些HTTP安全请求头时,浏览器在处理网站内容时会应用相应的安全机制,能够缓解XSS,代码注入,点击劫持等攻击方式。例如,使用Strict-Transport-Security(严格安全传输),就可以强制要求浏览器仅通过HTTPS进行通信。
三、异常信息不输出给用户
异常对象引起的错误返回可能包含敏感信息,在系统抛出异常后,异常信息如果输出给用户,可能会被攻击者利用。例如控制输入参数来暴露应用程序的内部结构和机制,异常消息文本和异常类型可能会泄露信息,以 FileNotFoundException 为例。这些消息包含有关文件系统布局的信息,异常类型显示丢失的请求文件。
为了保护 Java 代码应用程序,开发者们应该过滤异常消息和异常类型,避免直接暴露给用户。
四、避免记录敏感信息
开发者们在开发过程中,会接收到来自用户的许多敏感信息,例如信用卡和银行卡号码、身份证、手机号和密码等信息,这些对犯罪分子来说是高度敏感和有价值的,数据盗窃对个人和组织造成巨大伤害。
开发者们应避免将此类信息明文存储在日志文件中。 如果必须用到身份证等任何敏感信息,可以考虑仅记录身份证号的特征信息,例如最后四位数字或者hash,并确保使用经过验证的脱敏工具库对其进行加密。
五、保持代码的简洁
相对而言,越复杂的代码越容易出现问题,所以开发者应该尽量保持代码的简洁。
以下是一些保持代码简洁的实践:
- 在不减少功能的情况下使其组织结构尽可能简单。
- 在代码中避免公开过多的测试用户信息,有助于保持安全性和可维护性。
- 充分利用 Java 的访问修饰符,尽可能为类、方法及其属性声明最严格的访问级别,将可以设置为私有的内容都设置为私有。
- 定义尽可能小的 API 和接口对象,解耦组件并使它们在尽可能小的范围内交互,这样即便应用程序的某一个组件被攻击,但是其他组件还是安全的。
总结
安全问题绝大多数都是因为开发人员的安全意识薄弱所导致的,开发者们应该在Java开发的时候,提高代码安全意识和遵守代码安全规范,这会有效提高系统的安全性与流畅性。
参考链接
https://coralogix.com/blog/best-practices-for-writing-secure-java-code/
https://www.synopsys.com/blogs/software-security/spring-security-best-practices/