Web开发
关于本政策
- 负责办公室
- 信息技术
1. 目的
火狐体育的信息技术部门(IT)采用了一个web应用程序开发平台,该平台由特定的操作系统、web服务器、数据库和编程工具组成,可用于托管内部或外部承包商开发的web应用程序。本文件的目的是定义大学支持的网络开发平台的组件,编码标准,以及测试和审批流程,以便应用程序可以以符合公认的互操作性和安全实践的方式开发,并在我们的环境中完全兼容和支持。
2. 范围
开发将在IT或部门计算平台上运行的应用程序的任何大学部门、部门或个人。这既包括基于web的应用程序,也包括传统的基于客户机/服务器的应用程序。
3. 可接受的技术
一般来说,受雇在IT支持的服务器上开发基于web的定制应用程序的内部开发人员或外部承包商应该使用开放的标准协议、语言和工具来开发这些应用程序。IT将开放标准定义为:
“一种技术,其规范已公布并可免费获得(例如HTML、XML、PHP、Java),并且足够详细,使根据该规范编写的应用程序能够与为遵守该规范而设计的任何其他软件或平台一起工作。”
IT部门支持的可接受的开放标准技术列表包括但不限于:
- Java / JSP / JavaEE (Java是所有应用程序开发的首选IT平台)
- PHP 5或更高版本。
- 符合W3C标准的HTML, XHTML, CSS, DHTML, XML, DOM。
- Javascript / ECMAScript
- Python
- 鲁比(人名)
- SSL / TLS
- Apache Tomcat /
- SQL标准,如SQL-92、99或2003(应避免使用特定于供应商的SQL扩展)
注意:打算使用上述技术以外的任何技术的Web开发人员必须在任何开发工作开始之前咨询IT。如果在开发或部署中使用了不受支持的技术,IT部门就不能保证应用程序与现有基础设施的兼容性。
4. 平台和功能注意事项
为了确保应用程序在密歇根州立大学校园计算基础设施中的兼容性,web应用程序开发人员应牢记以下几点:
- MSU的生产web应用服务器主要使用Apache 2。在Linux、Solaris和Windows Server平台上运行。
- Microsoft的IIS web服务器和/或Active server Pages (ASP)技术仅在第三方应用程序需要时才支持。
- 虽然IT主要使用Apache Tomcat,但必须编写所有Java web应用程序代码,以便在任何符合J2EE 6或更高标准的web应用程序容器体系结构中运行。
- 对于传统的客户机-服务器数据库应用程序,IT部门支持Microsoft SQL server。然而,基于web的应用程序的首选数据库平台是Postgres、MySQL和Oracle 11g。
- 基于web的应用程序必须支持所有流行web浏览器的最新版本,包括Mozilla Firefox 17或更高版本、Internet Explorer 10或更高版本以及Safari 5或更高版本。遵守W3C web标准是确保这种兼容性的最佳方式。
- 任何用户身份验证机制都必须为登录屏幕提供加密的(SSL) HTTPS连接,以避免以纯文本形式传输用户名和密码信息。IT可以根据请求提供SSL证书。
- 使用MSU netid的身份验证机制必须通过与校园LDAP服务器的加密匿名绑定来完成。在适用的情况下,应该通过LDAP组处理用户授权。
- 任何文件传输操作、SQL查询或目录服务查找都必须通过安全通道(如SSL、SFTP或SCP)进行。
5. 应用验证、测试和开发生命周期
- 应用程序应基于本文件中提供的平台、工具和数据连接指南以及其他相关的大学政策文件(如保护敏感和机密信息和用户认证和授权的安全目录服务访问)来设计。
- 应用程序的功能需求应考虑所有适当的大学政策、行业指南、州和联邦法规,以确保安全访问、处理敏感数据、保护个人身份信息(PII)或财务记录。例如HIPAA、FERPA和PCI-DSS。
- 只要有可能,应用程序开发将在安全的“开发”或“测试”环境中进行,该环境与互联网隔离,可能限制或无法访问大学的生产服务器场和校园网。
- 在将应用程序从开发/测试环境转移到生产使用之前,IT系统和安全组将使用自动工具(如WebInspect, AppScan或其他商业和开源实用程序)扫描应用程序,以查找已知的安全漏洞。鼓励应用程序开发人员在开发过程中(即在项目的每个里程碑)要求定期进行安全扫描,以主动解决安全漏洞,并减少在最终的预生产扫描期间出现问题的可能性。
- 当预生产应用程序扫描程序完成后,将把应用程序移动到适当的生产环境中,并启用远程通信所需的任何外部防火墙规则。
- IT系统和安全组将定期重新扫描生产中使用的应用程序,以确保它们不会受到新的攻击方法的攻击。