【渗透测试-web安全】SDL -软件安全开发周期

网络安全 专栏收录该内容
20 篇文章 1 订阅

【渗透测试-web安全】SDL -软件安全开发周期

SDL

SDL即Security Development Lifecycle (SDL),是微软提出的从安全角度指导软件开发过程的管理模式。SDL不是一个空想的理论模型。它是微软为了面对现实世界中安全挑战,在实践中的一步步发展起来的模式。

SDL的核心理念就是将软件安全的考虑集成在软件开发的每一个阶段 需求分析、设计、编码、测试和维护。

基本内容块

培训:核心安全培训,对相关开发、测试、运营人员的培训
需求:
	安全需求分析:应用认证方式、权限控制、审计方式等
	质量要求/BUG数量要求:确保安全和隐私的重要标准
	安全和隐私风险评估:对身份证、银行卡、手机等信息进行风险控制
设计:
	设计需求分析:避免安全问题引起的需求变更等
	减少攻击面:从应用本身的漏洞和弱点出发尽可能的减少漏洞,最小权限原则等
实施:
	使用指定工具:配置、使用、设置等相关工具
	弃用不安全的函数:伪随机函数、级别较低的加密算法等
	静态代码分析:工具扫描和人工分析等
验证:
	动态分析:测试环节验证程序的安全性
	模糊测试:发送大量的数据查看对应的输出是否存在安全漏洞
	威胁模型和攻击面评析:修正需求变更引起的内容等安全问题
发布:
	事件响应计划:类比火灾演练
	最终安全评析:发布之前对安全问题作做种的安全评估检查
	发布存档:为应急响应和产品评估提供相应的支持
	
响应:最终的响应处置

未来发展

安全运营工作:渗透测试、代码审计、漏洞扫描等方法发现和修复安全问题

防御体系建设和快速响应攻击:设计安全方案、实施安全措施等

安全扫描:常用端口扫描、全端口扫描、新上线的业务、新爆发的0day漏洞等
分成定期扫描、每天扫描、及时扫描等不同的扫描周期

每天关注订阅的邮件、知名的安全微博、知名安全公众号等内容的推送
对公司的系统、软件、硬件等内容有一个较好的了解
采用waf防御方案时及时更新对应的补丁

制定对应的安全应急方案,及时面对威胁采取积极的措施及时补救

上线之后进行实时的检测,对系统进行安全检测,实时防御

及时建立对外的沟通渠道,及时提供统一对外沟通的邮件IM工具、提供安全相关的沟通群、提供外部反馈问题的网站等

融洽安全圈的关系,了解著名的安全公司和安全圈子,积极参加安全会议,积极融入安全圈进行合作

对安全的品牌价值建设,参加举办安全会议,打造拿权产品,成立安全实验室等
  • 0
    点赞
  • 0
    评论
  • 1
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 技术黑板 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值