防止M365 Manager Plus中的漏洞

在ManageEngine，安全一直是我们的首要任务，M365 Manager Plus的开发过程包括多项一流的安全措施，以确保产品符合组织的严格安全要求。

M365 Manager Plus团队具有经过深思熟虑的测试过程，可以在产品开发的每个阶段识别安全问题。我们也会尽快修复外部社区或专家报表的任何漏洞。

这是我们在产品开发周期中如何预防漏洞的方法。

产品测试程序

M365 Manager Plus拥有一支由安全专家组成的团队，他们在功能开发的不同阶段遵循各种安全程序，以确保产品不受网络攻击的侵害。我们基于开放式Web应用程序安全性项目（OWASP）建议的标准执行以下测试。

1. 在我们的开发人员开发新功能之前，安全团队将评估功能的体系结构和设计。这次审查的主要重点是确保为此新功能设计的各个模块符合所需的安全规范。
2. 开发该功能后，我们的安全团队将检查代码是否存在违反代码和安全标准的情况。
3. 在向公众发布该功能之前，我们需要进行一轮 黑盒测试和白盒测试。这样做是为了确保新功能能够按预期运行，并检查代码是否存在其他可能的缺陷。

除了M365 Manager Plus安全团队之外，ManageEngine还有一个专门的安全团队，其目标是确保所有ManageEngine产品都遵守严格的IT安全规范。每个版本之前，ManageEngine安全团队都会在M365 Manager Plus上执行以下测试：

1. 静态代码分析：使用内部工具，将检查整个产品代码存储库中的代码级漏洞。
2. 身份验证测试： 这些测试将确定O365 Manager Plus的不同身份验证过程中的任何缺陷。
3. 授权测试： 在此阶段，将检查不同的用户角色和权限，以确保已正确分配它们。
4. 安全性配置错误：检查了 各种第三方组件以及这些组件使用的所有配置，以确保它们的顺序正确。
5. 输入验证测试： 此测试可防止 跨站点脚本（XSS）攻击。我们还采用了内置过滤器来防止此类攻击。

外部漏洞报表

尽管遵循上述步骤，但是如果外部测试人员在我们的产品中检测到任何漏洞，我们仍将确保已对其进行修补并迅速发布了修复程序。在这种情况下，将采取以下步骤：

1. 分析：我们分析了报表的漏洞。
2. 开发修补程序：我们会尽早开发修补程序。
3. 测试：进行测试以确保修复程序有效，并且已采取所有安全措施来防范其他可能的威胁。
4. 发布：该漏洞修复程序已发布给客户。

确保修补程序到达我们的客户

当我们发布漏洞修复程序时，有几种方法可以让客户知道：

1. 我们在产品论坛中宣布该修补程序的发布 。
2. 包含新功能，增强功能和错误修复的常规更新会每隔一段时间发布一次，并记录。
3. 我们发布公告：
   • 我们通过在产品控制台中发布公告来使客户保持最新状态。
   • 我们在产品新闻通讯中介绍安全更新 。
   • 根据漏洞的严重性，我们向客户发送电子邮件。