SDL介绍----4、S-SDLC安全开发生命周期
文章目录
- 一、S-SDLC
- 二、 S-SDLC流程
- 三、S-SDLC项目流程
一、S-SDLC
OWASP Secure Software Development Lifecycle Project(S-SDLC)是OWASP组织首个由OWASP中国团队独立发布并主导的研究项目,并在全球范围内正式发布。S-SDLC被越来越多的企业所重视,纷纷开始实施。
S-SDLC是安全软件开发生命周期,是一套完整的,面向Web和APP开发厂商的安全工程方法。帮助软件企业降低安全问些,提升软件安全质量。S-SDLC的理念来源于微软SDL,最终目标是帮助用户减少安全问题,并使用该方法从每个阶段提高总体安全级别。
S-SDLC实践原则是实践S-SDLC成功与否的决定性因素,即:S-SDLC实践中的安全活动应融入公司现有的系统开发和项目管理流程中,而不是新建一套针对S-SDLC的管理流程或系统。若新建一套安全管理流程,一方面增加安全人员审核和流程维护的工作量,另一方面开发和运维人员需重新适应全新的流程,很大程度上增加了信息系统开发和运维成本,最终可能导致S-SDLC被摒弃以失败告终。
二、 S-SDLC流程
S-SDLC定义了安全软件开发的流程,以及各个阶段需要进行的安全活动,包括活动指南,工具、模板等,主要包括:
1、培训:提供安全培训体系,包含安全意识培训,安全基础知识培训,安全开发生命周期流程培训和安全专业知识培训;
2、需求阶段:如何对软件产品的风险进行评估,建立基本的安全需求
3、设计阶段:提供安全方案设计及威胁建模
4、实现阶段:提供主流编程语言的安全编码规范,安全函数库以及代码审计方法
5、测试阶段:基于威胁建模的测试设计,Fuzzing测试,渗透测试
6、发布/维护阶段:建立漏洞管理体系项目目标:
(1)制定面向Web和APP开发企业的安全开发流程
制定动态的安全开发流程,对安全活动及活动要求进行分级,不同类型的软件,可以根据产品的风险及可用的投入资源来确定开发过程中要执行的安全活动,明确活动的输入,输出,执行者及依赖关系;
(2)制定及开发安全基础培训课程
制定安全培训体系,确定不同的角色需要接受的培训内容及培训的周期;开发基础性的培训课程;
(3)根据实践经验,输出各个安全活动的方法指导及模板,主要的安全活动有:安全风险评估、设计Review、威胁建模、基于威胁建模的测试
(4)制定WEB应用/移动应用安全设计指南
(5)制定安全编码(C/C++、JAVA、PHP,C#)
(6)将OWASP现有项目,如开发指南、测试指南融合到软件全开发体系中;
三、S-SDLC项目流程
1、安全需求
SSDLC平台进行需求评审。
涉及人员:产品经理、安全审核人员等
输出结果。
2、安全设计
SSDLC平台进行需求评审。分析攻击面、威胁建模。
需求设计:合规、反爬、安全、风控等。
涉及人员:开发人员、测试人员、安全审核人员等
输出结果。
3、安全编码
使用批准的工具、安全组件、开源组件等等,进行安全扫描,上线代码审计工具、漏洞扫描工具等。
涉及人员:开发人员、安全人员等。
输出结果。
针对漏洞进行修复。
上线代码审计工具、漏洞扫描工具等。
输出结果。
4、安全测试
上线前安全测试人员进行安全测试。
涉及人员:安全人员,开发人员等
输出结果。
针对漏洞进行修复。
安全测试人员测试。
输出结果。
5、上线发版
参考链接:
https://wiki.owasp.org/index.php/OWASP_Secure_Software_Development_Lifecycle_Project#tab=Main
SDL介绍----4、S-SDLC安全开发生命周期相关推荐
- SDLC 软件开发生命周期及模型
SDLC 软件开发生命周期及模型 SDLC Waterfall Model 瀑布模式 V-Shaped Model V型模式 Prototype Model 原型模式 Spiral Model Ite ...
- 软件安全开发生命周期-基础理论
一.SDL简介 SDL security development lifecycle(安全开发生命周期),是微软提出的从安全角度指导软件开发过程的管理模式.SDL是一个安全保证的过程,起重点是软件开发 ...
- 移动开发的软件开发生命周期介绍(二)
Stabilization--稳定期 Stabilization is the process of working out the bugs in your app. Not just from a ...
- 【应用安全】微软的安全开发生命周期(SDL)
[应用安全]微软的安全开发生命周期(SDL) 0x01 SDL介绍 安全开发生命周期(SDL)即Security Development Lifecycle,是一个帮助开发人员构建更安全的软件和解决安 ...
- 软件开发生命周期(SDLC)完全指南
译者:陈峻 软件开发生命周期(Software Development Life Cycle,SDLC)包含了软件从开始到发布的不同阶段.它定义了一种用于提高待开发软件质量和效率的过程.因此,SDLC ...
- 【转】VS 安全开发生命周期(SDL)检查
[转]VS 安全开发生命周期(SDL)检查 前面在学习使用google的protobuf时在VS2012中一直无法编译编译通过,经过查找一些资料原来发现,并不是protobuf的问题,而是自己在使用V ...
- sdlc 瀑布式 生命周期_SDLC指南–软件开发生命周期的阶段和方法
sdlc 瀑布式 生命周期 When I decided to teach myself how to code almost four years ago I had never heard of, ...
- 外包项目开发课程整理一:SDLC传统系统开发生命周期7个阶段
外包项目开发课程整理一:SDLC传统系统开发生命周期7个阶段 前言: 课程全称为:通过案例学习外包项目开发,是软件工程专业大三下的课程,我将根据中方外方ppt教授讲述内容及上网搜索的知识对本课程进行系 ...
- sdlc 瀑布式 生命周期_管理信息系统中的系统开发生命周期(SDLC)
sdlc 瀑布式 生命周期 系统开发生命周期(SDLC) (Systems Development Life Cycle (SDLC)) SDLC stands for "Systems D ...
最新文章
- 技校毕业是什么学历_技校毕业了是什么学历
- 【ASP】简单Url编码和Url解码实例
- NGUI之输入文本框的使用
- 【JEEWX企业号专题】JEEWX与微信企业号对接,激活应用回调模式
- 覆盖7大手机品牌近4亿安卓用户 “互传联盟”让分享更容易
- iOS中Runtime简析
- 互金策略若干问题(全)
- NLP简报(Issue#6)
- sqlserver日期函数 dateadd,datediff ,datepart ,datename,convert
- Julia:几个简单的类型转换
- 对涉密计算机检查内容,RG涉密信息自检查工具安全保密检查内容及方法.docx
- 批量doc转docx的两种方法--Office Migration Planning Manager使用、插件使用
- css3ps插件,css3ps插件
- 电路串联和并联图解_电路的串联和并联有什么区别
- STR鉴定原理、流程已经报告数据解读指南
- python自动运行
- Win10怎么安装Apache服务
- 银行的SWIFT CODE 和 IBAN CODE 和 ABA CODE 分别是什么意思
- 直达号PK公众号的背后还有哪些市场空间?
- 常见笔顺错误的字_常用汉字中易写错笔顺的字有哪些?