安全需求管理是WEB系統整個生命周期的關鍵開端，在軟件開發初期就識別出安全需求能夠有效防止后續出現安全問題，同時降低修復成本。WEB系統可能依賴的公共組件包括數據庫、消息中間件、其他開源工具等。

這些公共組件可能存在的缺陷和漏洞都會導致WEB系統被攻擊，進而大大影響系統的穩定性與可用性。因此公共組件的安全性是進行開發前需要保證的重點環節，開發團隊使用的這些組件的各項信息都必須提前與安全團隊進行溝通。使用經過安全性檢查、認可的工具才能夠降低WEB系統自身的安全風險。

本篇文章將以MySql、Redis、Rabbitmq、maven為例介紹一些組件的安全需求分析方法。

1 MySql安全需求

（1）操作系統層面：需要配置防火墻，做好安全審計；需要進行訪問控制，使用強密碼并定期更換。

（2）數據庫層面：關注安全風險，及時更新或者打補丁；數據庫本身的賬號體系使用強密碼并定期更換；遵循最小權限原則，做好權限分離；隔離外網降低風險；支持高可用，主備切換，需要定期備份數據，并確保備份數據可以快速恢復，以避免數據丟失或被攻擊者篡改。

（3）程序代碼層面：在WEB系統與數據庫交互時，需要遵循機密性和完整性的要求，敏感信息加密存儲，重要數據做完整性保護；代碼執行安全檢測，嚴防惡意傳參和SQL注入等。需要正確處理錯誤和異常情況，以避免出現安全漏洞。

（4）安全審計層面：需要定期進行安全審計。

2 Redis安全需求

（1）設置網絡訪問權限：使用防火墻禁止外網訪問，只允許業務ip訪問，需要修改redis.conf進行安全加固。

（2）設置賬號執行權限：redis默認是沒有開啟密碼認證的，因此風險極高，需要手動開啟認證方法。還要設置單獨的賬號運行，不可使用root賬號，防止攻擊者利用redis漏洞控制主機。

（3）修復內置redis漏洞：harbor官方提供的部署方案涉及redis組件，其中內置了redis服務供內部服務使用，并未設置密碼，存在安全漏洞。在部署時需要重點關注，使用外置redis替換，降低風險。

3 Rabbitmq安全需求

（1）設置網絡訪問權限：使用防火墻禁止外網訪問，僅開放在業務內網。

（2）修改默認密碼：部署后的默認密碼是guest，極易被利用。必須刪除默認賬號重建新賬號，且按照規范設置強密碼，降低風險。

4 Maven安全需求

（1）定期監測漏洞：定期對maven項目的第三方依賴進行安全檢測，確認是否存在漏洞，可以使用Dependency Check對jar包進行漏洞檢測。也可以使用OWASP Dependency-Check對插件和公開的漏洞庫進行比對，及時識別出漏洞，盡快修復。

（2）及時更新：使用Version Maven Plugin管理插件的補丁更新。

以上是一些常見公共組件安全需求的示例，在WEB系統的開發中，如果有使用到第三方組件，必須先分析其涉及的風險項，制定組件相關的安全需求清單后，按照清單逐一核對，滿足安全需求后才能將其引入到WEB系統中。