开发规范

业务系统大部分安全漏洞， 主要来自于自研系统的设计、开发阶段造成的。并且由于系统不断进行更新，导致业务漏洞不断重复、反复进行出现。因此，急需一份开发规范，对整个研发团队的行为给予规范，防止出现低级的安全问题。

一份规范一般包括总纲、详细细则，规范规定到什么程度，其实完全取决于企业实际情况。

经过筛选和分析，发现业界比较有代表性的是，阿里巴巴发布java开发规范和OWASP发布的《OWASP 安全编码规范》

阿里巴巴-码出高效- http://techforum-img.cn-hangzhou.oss-pub.aliyun-inc.com/1528269849853/Java_manual.pdf

不仅仅是一本安全开发规范，更是一本编码规范，安全只是其中一小部分，优点将编码与检测形成了闭环，并且有配套的开发检测工具

OWASP安全编码规范-http://www.owasp.org.cn/owasp-project/secure-coding

是一个与技术无关的通用软件安全编码规范。基本上编码相关的方方面面。更加的详细

在制定安全开发规范时，尽可能参考已经落到或业界知名组织发布过的规范

1.经过实践的规范，考虑的会更加全面

2.知名规范推广时更有说服力，容易被大众所接受