开发安全生命周期

最新推荐文章于 2024-10-12 12:08:08 发布
最新推荐文章于 2024-10-12 12:08:08 发布
阅读量898 收藏 2
点赞数
文章标签: 信息安全 安全 其他 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Bellboy/article/details/111907350
版权
本文介绍了开发安全生命周期的重要性,强调了从需求分析阶段就应重视安全。内容涵盖需求分析阶段的关键安全目标识别,以及安全功能设计阶段的受攻击面分析,旨在减少安全风险,提高应用安全性。
摘要由CSDN通过智能技术生成

为什么需要应用开发安全管理

      今天的互联网经济中,尤其对于金融、运营商、电子商务等企业,软件应用不光承载着其核心业务,同时还生成、处理、存储着各类企业的核心敏感信息:账户信息、隐私、业务数据、金融交易记录等,一旦软件应用的安全性不足,不但短期内业务中断、声誉受损,各种信息资产还将透过地下交易流入地下经济产业链,从而造成其业务受到持续影响,给企业造成巨大的财务和信誉风险。

    针对这一趋势变化,大多数企业已经着手实施了关于应用安全性改善的措施,但只有极少数用户实现了从需求-部署的端到端应用安全管理,事实上,数据表明,大多数企业通常选择将应用安全的风险从开发阶段转移至部署甚至是运营阶段,从而导致了漏洞修复的成本居高不下。

业界实践

   渗透测试:从攻击者能力出发,以攻击者视角进行的黑盒测试,从而获得应用系统安全的主观评价,而渗透测试的结果仅能模拟和验证攻击场景,很难应用于切实改善。

  应用安全扫描和测试:针对已上线的应用系统,利用工具进行大范围高效率的扫描和探测,而由于扫描和测试基本在发布和上线后进行,即便发现安全缺陷和不足,已属亡羊补牢。

 开发管理平台:项目需求文档的提交,不关注安全问题的发现。

软件安全架构咨询:借助安全专业咨询顾问进行安全架构的设计和规划,同时尝试将业务与安全相结合,但其效果在一定程度上仍取决于安全功能的实现和验证。

代码级分析工具和技术:借助人工和自动化

最低0.47元/天 解锁文章
雨信康
关注
安全开发规范手册.docx
08-05
1. 背景 4 2. 编码安全 4 2.1. 输入验证 4 2.1.1. 概述 5 2.1.2. 白名单 5 2.1.3. 黑名单 5 2.1.4. 规范化 5 2.1.5. 净化 5 2.1.6. 合法性校验 6 2.1.7. 防范SQL注入 6 2.1.8. 文件校验 6 2.1.9. 访问控制 6 2.2. 输出验证 6 2.2.1. 概述 6 2.2.2. 编码场景 6 2.2.3. 净化场景 7 2.3. SQL注入 7 2.3.1. 概述 7 2.3.2. 参数化处理 7 2.3.3. 最小化授权 7 2.3.4. 敏感数据加密 7 2.3.5. 禁止错误回显 8 2.4. XSS跨站 8 2.4.1. 输入校验 8 2.4.2. 输出编码 8 2.5. XML注入 8 2.5.1. 输入校验 8 2.5.2. 输出编码 8 2.6. CSRF跨站请求伪造 8 2.6.1. Token使用 9 2.6.2. 二次验证 9 2.6.3. Referer验证 9 3. 逻辑安全 9 3.1. 身份验证 9 3.1.1. 概述 9 3.1.2. 提交凭证 9 3.1.3. 错误提示 9 3.1.4. 异常处理 10 3.1.5. 二次验证 10 3.1.6. 多因子验证 10 3.2. 短信验证 10 3.2.1. 验证码生成 10 3.2.2. 验证码限制 10 3.2.3. 安全提示 11 3.2.4. 凭证校验 11 3.3. 图灵测试 11 3.3.1. 验证码生成 11 3.3.2. 验证码使用 11 3.3.3. 验证码校验 11 3.4. 密码管理 12 3.4.1. 密码设置 12 3.4.2. 密码存储 12 3.4.3. 密码修改 12 3.4.4. 密码找回 12 3.4.5. 密码使用 12 3.5. 会话安全 13 3.5.1. 防止会话劫持 13 3.5.2. 会话标识符安全 13 3.5.3. Cookie安全设置 13 3.5.4. 防止CSRF攻击 13 3.5.5. 会话有效期 14 3.5.6. 会话注销 14 3.6. 访问控制 14 3.6.1. 跨权访问 14 3.6.2. 控制方法 14 3.6.3. 控制管理 14 3.6.4. 接口管理 15 3.6.5. 权限变更 15 3.7. 文件上传安全 15 3.7.1. 身份校验 15 3.7.2. 合法性校验 15 3.7.3. 存储环境设置 15 3.7.4. 隐藏文件路径 16 3.7.5. 文件访问设置 16 3.8. 接口安全 16 3.8.1. 网络限制 16 3.8.2. 身份认证 16 3.8.3. 完整性校验 16 3.8.4. 合法性校验 16 3.8.5. 可用性要求 17 3.8.6. 异常处理 17 4. 数据安全 17 4.1. 敏感信息 17 4.1.1. 敏感信息传输 17 4.1.2. 客户端保存 17 4.1.3. 服务端保存 17 4.1.4. 敏感信息维护 18 4.1.5. 敏感信息展示 18 4.2. 日志规范 18 4.2.1. 记录原则 18 4.2.2. 事件类型 18 4.2.3. 事件要求 18 4.2.4. 日志保护 19 4.3. 异常处理 19 4.3.1. 容错机制 19 4.3.2. 自定义错误信息 19 4.3.3. 隐藏用户信息 19 4.3.4. 隐藏系统信息 19 4.3.5. 异常状态恢复 20 4.3.6. 通信安全 20
安全开发生命周期
赤赤三的博客
03-12 5753
应用开发生命周期安全管理: 原理: 结合应用开发的需求、设计、开发、测试、上线、运维和废弃等生命周期的各阶段,定义安全目标和控制措施,结合评审、测试、培训等手段,保证开发系统的安全性 原因: 攻击内容发生了变化 病毒蠕虫 攻击OS、DB APT攻击社会工程学 攻击应用系统 攻击对象发生了变化 缺乏安全开发技能 运维阶段无法解决开发问题 应用程序代码问题(SQL注入、XSS) 应用系统安全设计失效(验证码绕过)
课程分享 | 做好安全开发不得不说的那些事
最新发布
zitao20230629的博客
10-12 662
在数字化时代,软件应用已经成为我们日常生活和工作中不可或缺的一部分。随着网络攻击手段日益复杂化,确保软件的安全性变得至关重要。安全开发不仅能够保护用户数据和企业资产,还能提升用户体验和品牌形象。
第20章 软件开发安全
HeLLo_a119的博客
01-30 1738
软件开发安全
安全开发生命周期(SDL)
专注企业信息安全-sec
12-02 7396
安全开发生命周期(SDL)是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。 安全应用从安全设计开始,软件的安全问题很大一部分是由于不安全的设计而引入的,微软用多年的经验总结出了安全开发生命周期(SDL),并提出了攻击面最小化、STRIDE威胁建模等多种方法辅助安全人员对软件进行安全设计。安全设计对于软件安全的重要性尤为可见。 一、安全开发生命周期(SDL)是什么? SDL介绍 安全开发生命周期(SDL)即Security Development Lifecyc
确保软件开发生命周期(SDLC)的安全
qzt961003的博客
06-10 2249
对于SDLC的步骤和不同的项目方法(如瀑布、精益和敏捷)来改变我们对它们的看法存在争议。但是在所有这些方法中,我们在项目开始和每个新功能的开发上基本遵循相同的5个步骤。接下来,我们将分解这些阶段,并一一探索其中具体的安全需求...
【软件安全设计】安全开发生命周期(SDL)
02-23
安全开发生命周期(SDL)是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。安全应用从安全设计开始,软件的安全问题很大一部分是由于不安全的设计而引入的,微软用多年的...
02软件开发生命周期信息安全.pptx
02-29
着眼国家安全和长远发展,统筹协调涉及经济、政治、文化、社会及军事等各个领域的网络安全和信息化重大问题,研究制定网络安全和信息化发展战略、宏观规划和重大政策,推动国家网络安全和信息化法治建设,不断增强...
第8章 软件安全开发生命周期概述.ppt
04-27
【软件安全开发生命周期概述】 软件安全开发生命周期(Security Development Lifecycle, SDL)是一种系统性的方法,旨在将安全措施融入软件开发的整个过程中,以确保软件在设计、开发、测试和部署阶段都充分考虑到...
浅谈OWASP_IoT_TOP10与物联网安全开发生命周期.pdf
08-11
通过以上对OWASP IoT TOP10的分析以及物联网安全开发生命周期的介绍,我们可以看出,物联网安全是一个复杂且系统性的工程,它需要从设计、开发到运维的每一个环节都进行全面的安全考量,才能确保物联网设备和系统的...
安全软件开发生命周期(S-SDLC)_与业务安全.pdf
09-11
安全软件开发生命周期(S-SDLC)_与业务安全 威胁情报 攻防实训与靶场 web安全 金融安全 安全管理
安全开发流程与安全开发生命周期管理
10-20
安全开发流程与安全开发生命周期SDL管理介绍,以及在线项目管理、SDL SaaS服务介绍。
安全软件开发生命周期简介
Karka_的博客
08-06 802
软件开发生命周期(SDLC)是一种用于开发软件应用程序的系统而又标准化的方法。SDLC大量借鉴了一般项目管理生命周期方法中的元素,从所涉及的步骤和阶段的相似性中可以明显看出这一点。虽然不太可能找到两个公司应用完全相同的SDLC过程,但主要阶段在大多数组织中是常见的。
安全开发应该注意哪些事?安全工程师说了6点【上】
Anprou的博客
06-26 1963
很多技术研发不了解安全,也不重视安全,只有在自己的服务器被黑掉、被挂马、被脱裤才想起关注安全,但是这个时候,技术架构已经成型、代码已经在线上稳定运行,再亡羊补牢,改代码、改策略,往往成本巨大、而收效很低;所以,开发安全,从娃娃抓起……
微软 SDL 安全研发生命周期详解
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-15 3317
微软SDL(Security Development Lifecycle)是一种安全软件开发的方法论,它强调在整个产品开发过程中融入安全考虑因素。SDL 是一个动态的过程,包括多个阶段和活动,以确保产品的安全开发、测试、部署和运行。Microsoft 要求所有开发团队都必须遵守 SDL 流程和要求,从而获得更安全的软件,并降低开发成本,减少严重漏洞。当前多数大型企业都借鉴SDL构建了适应于企业内部的安全研发流程。
开发安全模型
weixin_43515983的博客
11-04 486
开发安全模型
安全开发流程(SDL)
weixin_30716725的博客
07-18 722
SDL:Security Development Lifecycle 安全开发生命周期 培训 要求 设计 实施 验证 发布 响应 核心安全培训 确定安全要求 创建质量门/错误标尺 安全和隐私风险评估 确定设计要求 分析攻击面 威胁建模 使用批准的工具 弃用不安全的函数 静态分析 动态分析 模糊测试 攻击面评析 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值