软件安全开发 – 流程规范(软件开发安全管理要求规范)

众所周知,软件的安全性如今已得到了前所未有的重视程度。许多企业会将安全性嵌入到应用程序的开发阶段。这样既能有利于整体安全性的遵守,又可以在软件的不同层面上创建多个安全性检查点。

接下来九脑汇学院给大家分享一篇软件安全开发流程,值得各位收藏学习!

一、优秀软件安全开发流程

安全开发流程(Security Development Flow),即安全的软件开发流程(Software Development Flow with Security),是以交付安全的软件产品为目标的软件设计过程,包括安全的概要设计或方案设计、安全编码、安全测试、安全部署(发布)。

微软为了提升公司研发的操作系统和各类办公软件的安全,提出了SDL security development lifecycle(安全开发生命周期),即从安全角度指导软件开发过程的管理模式。SDL是一个安全保证的过程,重点是软件开发,它在开发的所有阶段都引入了安全和隐私的原则。

以下是微软SDL流程框架图:

软件安全开发 - 流程规范(软件开发安全管理要求规范)

SDL大致如下,包括了以下七个阶段:

1、安全培训(training):(安全培训体系)安全意识 安全测试 安全开发 安全运维 安全产品;提升团队安全意识,对齐安全要求

2、需求分析(requirements):建立安全需求管理、安全质量标准、安全与隐私风险评估,确定安全需求和投入占比,寻找安全嵌入的最优方式 。

3、系统设计(design): 确定设计要求,分析攻击面,威胁建模

4、实现(implementation):使用标准的工具,弃用不安全的函数,静态分析(安全开发规范 代码审计)

5、验证(verification):黑白盒测试、动态安全测试、Fuzz测试、攻击面评审

6、发布(release):制定安全事件响应计划、周期性安全评估

7、响应(response):执行安全应急响应计划BUG跟踪

培训的内容应包括以下方面:
Part 1:安全设计:包括减小攻击面、深度防御、最小权限原则、服务器安全配置等
Part 2:威胁建模:概述、设计意义、基于威胁建模的编码约束
Part 3:安全编码:缓冲区溢出(针对C/C )、整数算法错误(针对C/C )、XSS/CSRF(对于Web类应用)、SQL注入(对于Web类应用)、弱加密
Part 4:安全测试:安全测试和黑盒测试的区别、风险评估、安全测试方法(代码审计、fuzz等)
Part 5:隐私与敏感数据:敏感数据类型、风险评估、隐私开发和测试的最佳实践
Part 6:高级概念:高级安全概念、可信用户界面设计、安全漏洞细节、自定义威胁缓解

根据微软的SDL流程框架,我们看出软件安全开发是软件开发的必然趋势,即必须要将安全纳入到传统软件开发流程的每个环节。

二、总结软件安全开发流程新增的安全活动

软件安全开发 - 流程规范(软件开发安全管理要求规范)

THE END

免责声明:本号致力于“好文”推送,并对文中观点保持中立,所发内容仅供学习、交流之目的。版权归原作者或机构所有,若涉及版权问题,请联系删除。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

(0)
上一篇 2022年5月26日 上午11:15
下一篇 2022年5月26日 上午11:17

相关推荐

  • 企业电子合同如何进行管理?(企业电子合同如何进行管理签订)

    想知道企业电子合同如何进行管理,需要从合同准备、合同签署、合同履行、合同归档四个管理流程中详细了解。电子合同的签署是需要通过电子合同订立系统,并且在使用签署前需进行实名认证,申请获…

    科研百科 2022年8月4日
    230
  • 施工工艺小程序

    施工工艺小程序施工工艺小程序是一种数学和艺术学科的最好选择,也是很多学校首选的。工程技术人员的薪资是最理想的,但技术工人的薪资是有限的,如果你想要获得这种待遇,就需要努力工作。在过…

    科研百科 2024年11月28日
    0
  • 项目管理,让自己更从容

    项目管理,让自己更从容 在项目中,我们通常会面临各种挑战和压力,例如时间限制、资源限制、不确定性和风险等。但是,通过有效的项目管理,我们可以让自己更加从容应对这些挑战。 项目管理可…

    科研百科 2024年9月15日
    38
  • 坚持不懈把党建引领贯穿基层治理始终(坚持党建引领,推进基层治理现代化)

    党的二十大报告明确指出,“推进以党建引领基层治理”。基层作为国家治理的最末端、服务群众的最前沿,其治理效能的提升关键在于党的领导,在于党建引领。从实践来看,充分发挥党建引领作用,有…

    科研百科 2023年6月9日
    260
  • 豫能控股:保供彰显担当 转型引领跨越(豫能控股 储能)

    【能源人都在看,点击右上角加\’关注\’】 电力行业碳排放在能源行业碳排放中的占比超过40%,是能源转型的中心环节、碳减排的关键领域,电力低碳转型对实现碳达…

    科研百科 2022年8月11日
    280
  • st聚龙的科研项目

    st聚龙的科研项目 st聚龙是一家专注于机器学习和人工智能领域的公司,其科研项目涉及多个领域,包括自然语言处理,计算机视觉,语音识别等。最近,st聚龙参与了一项关于图像分割的科研项…

    科研百科 2025年1月29日
    0
  • 西华大学博士点

    以西华大学博士点为标题的文章: 西华大学博士点简介 西华大学位于中国四川省成都市,是中国一所综合性大学。其博士学位授权点为:计算机科学与技术,环境科学与工程,机械工程,理学。这些博…

    科研百科 2024年10月10日
    22
  • 公示丨2018年江苏省信用管理示范企业复核结果(江苏省企业信用管理工作指南)

    2018年江苏省信用管理示范企业复核结果公示 根据《省发展改革委关于组织开展省市两级信用管理示范企业复核评价工作的通知》(苏发改信用发〔2022〕288号)要求,省发展改革委组织各…

    科研百科 2023年5月25日
    199
  • 通用项目管理软件

    通用项目管理软件 项目管理软件是一种用于管理各种不同类型的项目的工具,包括大型项目、小型项目和项目组合。通用项目管理软件是一种多功能的工具,可以帮助项目经理和团队更好地管理项目进度…

    科研百科 2024年8月15日
    41
  • ucl项目管理

    UCL项目管理: 现代项目管理的经典之作 项目管理在当今社会已经成为了一项至关重要的技能,而UCL项目管理则是现代项目管理的经典之作。UCL项目管理是由UCL大学开发的一套全面而系…

    科研百科 2024年7月27日
    45