研发安全实践

华为云将安全生命周期（SDL）无缝嵌入快速迭代的全新 DevOps 流程，实现安全研发和运维运营结合，保障云服务安全活动而不影响快速持续集成、发布与部署。

设计阶段的安全性考虑

数据隔离

• 隔离机制可避免客户间有意或无意的非授权访问、篡改等行为，降低数据泄露风险。

• 华为云的云硬盘EVS、对象存储服务OBS、弹性文件服务SFS等服务均将客户数据隔离作为重要特性。

• 您在设计云上业务架构时可利用这些云服务实现数据安全隔离的目标。

数据加密

• 加密可保护静态和传输中的数据。

• 华为云的云硬盘EVS等多个服务均支持与数据加密服务DEW集成，实现密钥管理和数据加密。

• 华为云还采用加密传输通道，保障数据在传输过程的机密性和完整性。

• 您在设计数据加密功能时，可以充分借鉴华为云已有的实践和能力。

数据冗余

• 冗余设计可以有效防止数据丢失。

• 华为云采用多副本备份和纠删码设计，通过冗余和校验机制来判断数据的损坏并快速进行修复，以确保服务的可靠性。

• 您在设计云上业务时，可充分利用华为云服务提供的可靠性服务。

隐私保护设计

• 在产品设计过程中考虑隐私，可大幅提高产品的隐私保护能力。

• 华为云在构建云服务时，将隐私保护作为需求落入产品开发设计流程。

• 在构建企业应用时，如何更充分地考虑隐私保护设计，您可以在隐私融入设计(PbD)页面中了解详情。

开发阶段的安全性考虑

安全编码对保证产品和服务的安全性至关重要

安全编码规范

为防止、检测和消除可能危及软件安全的错误，华为云要求开发人员严格遵守华为公司的安全编码规范，且在上岗编码前均须通过对应规范的学习和考试。

静态代码扫描

为保证服务始终具备高安全性，华为云在安全编码的同时，使用静态代码扫描工具例行检查，并保证云服务在发布前达到静态代码扫描零告警，以此有效降低上线时编码相关的安全问题。

安全实践

华为云基于自身多年的安全经验研发了可以帮助您实现安全开发的服务，例如集华为研发实践、前沿研发理念、先进研发工具为一体的软件开发平台DevCloud。此平台覆盖软件交付的全生命周期，可以助力您更简单、高效、安全的进行软件开发。此外，华为云研发的代码检查CodeCheck提供近2000条华为典型检查规则，支持多种主流开发语言，可以在开发阶段识别大部分安全问题，实现安全风险前置，有效管控代码质量。