SDL建设简介

最新推荐文章于 2024-05-01 19:19:49 发布
最新推荐文章于 2024-05-01 19:19:49 发布
阅读量1.6k 收藏
点赞数
分类专栏: Web安全 文章标签: 安全 web SDL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/maowenbei/article/details/72757847
版权

为什么要用SDL

  • 提升Web应用的安全性,减少Web应用的安全漏洞
  • 降低安全漏洞修复成本

SDL是什么

  • 安全开发生产周期 Security Development Lifecycle
  • 符合Secure at the Source原则
  • 来源于微软

SDL流程

培训
  • 核心安全培训
需求
  • 安全需求分析
  • 质量要求/BUG数量要求
  • 安全和隐私风险评估
设计
  • 设计需求分析
  • 减小攻击面
  • 威胁建模
实施 (开发)
  • 使用指定工具
  • 弃用不安全函数
  • 静态分析
验证 (QA)
  • 动态分析
  • 模糊测试
  • 威胁模型和攻击面评析
发布
  • 事件响应计划
  • 最终安全评析
  • 发布存档
响应

参考

maowenbei
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
企业如何快速落地sdl
Shanfenglan's blog
02-19 981
文章目录1. SDL1.2 安全实践1. 提供安全培训DevSecOps 1. SDL 中文名软件开发生命周期,微软提出的一个软件安全开发的流程,其核心理念就是将安全考虑集成在软件开发的每一个阶段:需求分析、设计、编码、测试和维护。从需求、设计到发布产品的每一个阶段每都增加了相应的安全活动与规范,以减少软件中漏洞的数量并将安全缺陷降低到最小程度。安全开发生命周期 (SDL)是侧重于软件开发的安全保证过程,旨在开发出安全的软件应用。 1.2 安全实践 所有类型产品在研发过程中必须实现的行为。 1. 提供安全
甲方安全建设SDLC落地心得
黑白的博客
07-07 4674
从敏捷里看到了一点,就是虽然都在强调安全左移,但是好像把后面的安全评估与测试做好,也能得个及格分。毕竟实践是检验真理的唯一标准,考验产品安全安全,极大部分都是看能不能黑进来,既然如此,SDLC存在的价值是什么?当看完本文后,我们不妨回到本文的第一句话,为什么要做SDLC?1.不管是对外沟通还是对上沟通,身为一个产品安全人员,如果能做到很熟悉业务,沟通会高效很多,也会更有底气2.融入业务后,会慢慢知道业务的重点是哪些,慢慢识别风险的优先级,哪些业务适合SDLC,哪些业务适合DevSecOps。
2024年网络安全最全SDL软件安全开发生命周期_sdl
最新发布
2401_84263282的博客
05-01 209
测试:在测试阶段,需要进行安全测试,如黑盒测试和白盒测试。黑盒测试是一种测试方法,它没有关于内部结构的任何信息,而是基于输入和输出进行测试。白盒测试是一种测试方法,它关注内部结构,如程序逻辑、分支覆盖率和代码覆盖率等。发布:在发布阶段,需要确保应用程序已经过彻底的安全审查,并且符合组织的安全标准和规定。维护:在维护阶段,需要定期审查安全性,修复漏洞,以及确保应用程序安全性的持续改进。总之,SDL提供了一个结构化的方法,可以帮助开发人员在整个软件开发过程中考虑和管理安全性。
论企业如何快速建立SDL流程
热门推荐
qq_21193587的博客
06-09 2万+
https://www.freebuf.com/articles/es/220410.html 前言 今年很多比较大的互联网公司开始试行SDL落地,但是由于相关资料文档有限,导致落地困难,今天这篇文章就旨在讨论一下企业SDL如何快速落地问题,题主落地SDL时间并不是很长,一两年时间而已,但是一样是从零开始,过程艰难,不论成功与否,一样有所得,写出来大家讨论一下。 一、SDL实施定位 开始就不讲微软那一套流程了,先借鉴一下(这张图忘了从哪位大佬PPT截下来的了,侵权可删): 这张图很好的诠释了整个DevSec
安全架构--9--企业应用安全体系建设总结
武天旭的博客
04-14 3774
在过去的工作中,我和我的团队基本完成了公司信息安全体系的初步建设,我设计的安全体系架构分为六大块:安全开发体系、安全防御体系、数据安全体系、隐私合规体系、资产管理体系、安全管理体系,六大体系共同构成了完整的信息安全体系。
安全架构--5--SDL安全与企业办公安全落地实践
武天旭的博客
04-12 3646
安全开发生命周期的管理是保障互联网企业业务正常运营的重要举措,直接关系到企业线上业务运行的安全性。而企业办公安全涉及的安全隐患则更加复杂多样,各种数据泄露、人员违规、外部入侵、物理安全等问题数不胜数。 一、安全开发生命周期 互联网公司的SDL必须和现有的CI/CD(持续集成/持续部署)系统(如IDE、Gitlab、Jenkins、JIRA等)集成才能产生较好的效果。SDL建设必须置于敏捷开发、持...
金融行业SDL建设方案
01-02
金融行业SDL建设方案
滴滴SDL体系建设--滴滴SDL从0-1建设历程.pdf
08-11
个人介绍 滴滴SDL建设历程概览 滴滴SDL建设历程详解 滴滴SDL现在与未来
SDL安全建设流程落地方法方案
03-05
SDL安全建设流程落地方法方案。 SDL:Security Development Lifecycle 安全开发生命周期,将安全融入到开发的每一个过程中去,以减少软件中漏洞的数量并将安全缺陷降低到最小程度。 资源里包括了所有SDL流程中应该做...
不同企业,SDL差异几何——不同企业的SDL建设Roadmap分析4.10.pdf
06-20
SDL(Software Development Life Cycle)】是软件开发生命周期的缩写,它是一种安全开发方法,旨在将安全措施融入软件开发的每个阶段,以降低安全风险。SDL通常包括多个实践领域,如策略与指标、合规性与政策、...
信息安全_.第5讲.不同企业.SDL差异几何——不同企业的SDL建设Roadmap分析4.10.pptx
08-14
【信息安全 - 第5讲】本讲探讨的主题是“不同企业SDL差异几何——不同企业的SDL建设Roadmap分析”。SDL,即Security Development Lifecycle(安全开发生命周期),是微软提出的一种确保软件安全性的开发流程,旨在将...
Microsoft SDL简化实施流程.pdf
03-17
sdl简化实施流程
SDL流程
sui_luan的博客
02-11 874
SDL流程
SDL实践指南】SDL安全设计概述
Fly_鹏程万里
03-27 914
安全设计的目的是在程序研发之初就通过威胁建模等方式发现潜在的安全问题并引入安全功能从而规避安全风险并为安全提供有力保障,由此可见安全设计是随着产品业务的变动而变动的(例如:产品线变化、新增功能等)而并非一成不变,上面美的的安全设计CheckList很好的提炼了一些通用的安全设计很是值得借鉴
精简版SDL落地实践
渗透测试研究中心
02-23 310
一、前言一般安全都属于运维部下面,和上家公司的运维总监聊过几次一些日常安全工作能不能融入到DevOps中,没多久因为各种原因离职。18年入职5月一家第三方支付公司,前半年在各种检查中度过,监管形势严峻加上大领导对安全的重视(主要还是监管),所有部门19年的目标都和安全挂钩。由于支付公司需要面对各种监管机构的检查,部分安全做的比较完善,经过近一年对公司的熟悉发现应用安全方面比较薄弱。这部分业内比较...
SDL介绍----2、SDL安全设计核心原则
七天
07-06 2178
SDL安全设计核心原则
微软SDL流程终极整理总结
Zichel77的博客
02-11 9442
微软软件安全开发流程(SDL) 微软SDL(Security Development Lifecycle)流程框架 安全保证的过程,重点是软件开发,但每个阶段都引入了安全和隐私的原则。 正在上传…重新上传取消 主要步骤 安全培训Training 1.1 Core Security Training核心安全培训 提高团队安全意识,对齐安全需求。 开发团队的所有成员都需要接受适当的安全培训,了解相关的安全知识,培训对象包括开发人员,测试人员、项目经理、产品经理等。项目的中期可开展针对性的培训,例如代码
SDL实践指南】SDL基本介绍
Fly_鹏程万里
03-27 539
SDL(Security Development Lifecycle,安全开发生命周期)是由微软提出的一种从安全角度指导软件开发的管理模式,它主要通过在传统的软件开发生命周期的各个阶段穿插一系列的安全活动来保障和提升产品自身的安全能力
软件安全开发周期 - SDL
05-08 8667
 申明。文章仅代表个人观点,与所在公司无任何联系。 1.     概述安全开发周期,即Security Development Lifecycle (SDL),是微软提出的从安全角度指导软件开发过程的管理模式。SDL不是一个空想的理论模型。它是微软为了面对现实世界中安全挑战,在实践中的一步步发展起来的软件开发模式。 那么,SDL到底是什么,它是如何和传统的软件开发模式结合?
不同企业SDL建设对比与DevSecOps演进
文档作者为何乐乐,内容涵盖了SDL的评估方法、不同企业的SDL建设路径以及向DevSecOps的转型。BSIMM模型分为12个实践模块和4个区域,共119项活动,通过这些活动的执行频率来衡量组织的安全成熟度。高成熟度的企业通常...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值