安全开发流程,能够帮助企业以最小的成本提高产品的安全性。它符合“Secure at the Source”的战略思想。实施好安全开发流程,对企业安全的发展来说,可以起到事半功倍的效果。
1、SDL简介
SDL的全称是 Secu rity Development Lifecycle,即:安全开发生命周期。它是由微软最早提出的,在软件工程中实施,是帮助解决软件安全问题的办法。SDL是一个安全保证的过程,其重点是软件开发,它在开发的所有阶段都引入了安全和隐私的原则。自2004年起,SDL一直都是微软在全公司实施的强制性策略。SDL的大致步骤如下:
SDL中的方法,试图从安全漏洞产生的根源上解决问题。通过对软件工程的控制,保证产品的安全性。
SDL对于漏洞数量的减少有着积极的意义。根据美国国家漏洞数据库的数据显示,每年发现的漏洞趋势有以下特点:每年有数千个漏洞被发现,其中大多数漏洞的危害程度高,而复杂性却反而较低;这些漏洞多出现于应用程序中,易于被利用的漏洞占了大多数。
而美国国家标准与技术研究所(NIST)估计,如果是在项目发布后再执行漏洞修复计