5 способов повысить безопасность Excel и PDF с помощью API-интерфейсов .NET Document

GrapeCity производит компонентное программное обеспечение, используемое тысячами разработчиков по всему миру, и мы серьезно относимся к безопасности кода. В этом блоге мы будем использовать GrapeCity Documents for Excel (GcExcel) в качестве примера продукта. Тем не менее, общие политики и протоколы разработки применимы ко всем группам разработчиков программного обеспечения GrapeCity. GcExcel помогает обеспечить безопасность кода вашего приложения следующими пятью способами:

1. Подход, основанный на стандартах
2. Система обеспечения безопасности
3. Тестирование безопасности
4. Обучение технике безопасности
5. Консультация по безопасности

1. Стандартный подход

GcExcel используют 10 лучших OWASP проект, который стал стандартом безопасности веб-приложений для предоставления методов предотвращения возникновения проблем с высоким уровнем риска. .

Они могут включать внедрение кода в ненадежные данные, отправляемые в команду или запрос, внешние объекты XML, используемые для кражи внутренних данных или прослушивания портов внутреннего сканирования, а также небезопасную десериализацию, которая может привести к удаленному выполнению кода или другим серьезным атакам, таким как повтор и привилегия. эскалация.

Мы рекомендуем всем клиентам, разрабатывающим веб-приложения, также использовать эти политики для обеспечения безопасности своих приложений, поскольку большинство проблемных областей высокого риска связаны с конфигурацией приложений и безопасности, межсайтовыми сценариями, раскрытием конфиденциальных данных, позволяющих установить личность, и другие факторы, выходящие за рамки GcExcel.

2. Система обеспечения безопасности

Система обеспечения безопасности GcExcel использует гибкую модель разработки и непрерывную интеграцию, включая регулярное сканирование на наличие вирусов, статический анализ кода и сценарии автоматизированного тестирования. Вся разработка находится под контролем группы менеджеров, которые создают новые требования к продукту и планируют основные этапы продукта и график выпуска.

Разработчики регулярно проверяют весь код на ежедневных обзорных собраниях, а старшие архитекторы — на периодических архитектурных обзорах. Раз в две недели публикуются обновления продукта для устранения выявленных проблем.

3. Тестирование безопасности

В дополнение к обычному автоматическому модульному тестированию в GcExcel есть специальные автоматические тесты безопасности, предназначенные для проверки уязвимого кода для сериализации, десериализации и операций с файлами. Эти тесты гарантируют, что GcExcel не подвергает приложения каким-либо проблемам безопасности, связанным с синтаксическим анализом содержимого XLSX из ненадежных источников.

Мы также обеспокоены внешними сущностями XXE, десериализацией типа JSON, внедрением HTML и CSV и ненадежным содержимым макросов внутри файлов XLSM. GcExcel спроектирован таким образом, чтобы избежать этих потенциальных уязвимостей, и никогда не выполняет какой-либо макрос, загруженный из файлов XLSM.

4. Обучение технике безопасности

GrapeCity предоставляет обучение и рекомендации командам, ответственным за создание компонентов, чтобы убедиться, что все члены команды, включая разработчиков, инженеров по обеспечению качества и менеджеров, соблюдают Систему обеспечения безопасности GrapeCity< /сильный>.

Разработчики, работающие с чувствительными областями кода, уделяют особое внимание проверке этого кода и проверке того, что модульные тесты охватывают аспекты API, связанные с безопасностью (например, аргументы, которые могут содержать ненадежные данные).

5. Консультация по безопасности

GrapeCity серьезно относится к вашим требованиям к безопасности кода, и наши штатные профессиональные специалисты по безопасности ответят на любые ваши вопросы, связанные с безопасностью программных компонентов GrapeCity. р>

Мы очень серьезно относимся к этим проблемам и немедленно предоставим ответ, чтобы подтвердить получение проблемы и указать сроки расследования, а также еще один ответ после завершения расследования с полными результатами расследования.

Наши процессы определяют приоритеты и эскалируют сторонние отчеты о безопасности, связанные с нашим кодом, и наши команды могут работать с ними, чтобы быстро исследовать и решать любые проблемы.

Подробнее читайте в официальном документе по безопасности GcExcel

Для получения дополнительной информации о GcExcel и системе обеспечения безопасности GrapeCity ознакомьтесь с полным информационным документом, в котором подробно описаны эти политики и стандарты:

Документы GrapeCity для технического описания безопасности Excel

Загрузить сейчас!

:::информация Также опубликовано здесь.

:::