Web软件产品推行SDL实践

Web软件产品推行SDL实践

软件安全开发周期(Security Development Lifecycle)　　即Security Development Lifecycle (SDL)，是微软提出的从安全角度指导软件开发过程的管理模式。SDL不是一个空想的理论模型。它是微软为了面对现实世界中安全挑战，在实践中的一步步发展起来的软件开发模式。　　

SDL的核心理念就是将软件安全的考虑集成在软件开发的每一个阶段 需求分析、设计、编码、测试和维护。 

1、推行SDL所面临的困难

1.1 每天都会遇到的困难

1.1.1、被外部报了一个安全漏洞，却找不到是哪个业务团队负责的。

1.1.2、面对线上漏洞，业务团队认为不应为了弹个对话框，就修改代码影响整体项目进度。

1.1.3、接受安全漏洞，现在项目很急，下一个版本修复。

1.1.4、这个漏洞很麻烦，下周才能修复。

1.1.5、开发休假了，别人不了解情况，等他来的再修。

1.1.6、这个应用已经移交给比人了，现在不是我负责。

1.1.7、我说的业务团队工程师听不懂，业务团队工程师说的我听不懂。

1.2对业务团队，对业务团队的种种批评

1.2.1、业务团队对安全不重视。

1.2.2、业务团队无安全技能积累。

1.2.3、业务团队不承担安全漏洞的责任。

1.2.4、业务团队各项目采用技术、架构差异性大。

1.2.5、业务团队各项目采用开发模式差异性大。

1.3、业务团队对安全团队的抱怨

1.3.1、不懂装懂瞎指挥。

1.3.2、拿着鸡毛当令箭。

1.3.3、光说不练，不干实事，只会添乱。

1.3.4、安全团队找上门来准不是好事，不是漏洞就是攻击。

1.4 安全团队的原因

1.4.1、安全团队对业务团队以及web产品不了解。

1.4.2、安全团队在产品初期未能接入web软件开发。导致大量历史遗留问题。

1.4.3、安全团队业务团队工程师中威信不足。

1.4.4、不能读懂业务方的代码。

程序员是用代码来交流的，为了更有效的和他们交流需要读懂他们的代码。

1.4.5、信息整合能力不足，无法掌握必要的产品信息。

1.4.6、得不到业务团队的支持，一个人的安全。

1.4.7、不同团队的知识背景不同，专业术语不同。

2、我们的职责

2.1、对web产品的安全负责。

2.2、 工作的核心：安全支持工作。

2.3、避免成绩是我们的，责任都是别人的。

2.4、工作的衡量标准：

产品是否安全知识衡量标准的一部分，所支持产品是否成功，才是真正的衡量标准。

3、面临的主要安全风险

4、了解你的服务对象

5、数据的整合工作

6、发动业务团队，依靠业务团队

7、把安全支持融入整个软件开发生命周期中

8、安全责任的明确

先做事，后分责。

9、用实事说话，拿数据说话