SDL
文章平均质量分 89
王嘟嘟_
这个作者很懒,什么都没留下…
展开
-
SDL问题预测
这里针对可能针对SDL的问题记录,当然很多内容不会直接公布,需要大家自己去探索,当然如果有一些问题也可以同步进行留言。原创 2023-04-06 12:40:12 · 1758 阅读 · 0 评论 -
SDL汇总
最近看了很多的资料,针对SDL的内容差不多是理解了的,在这篇进行一下汇总。原创 2023-04-01 15:15:09 · 1787 阅读 · 0 评论 -
SDL—发布
此状态就是指产品经过功能测试&安全测试&威胁评估,现在就要发布了,需要安全方面做的事情。原创 2023-04-01 14:42:19 · 850 阅读 · 0 评论 -
SDL—实现
将已经设计好的方案进行落地。并且约束开发工具,编译第三方库,以及安全编码规范。原创 2023-04-01 14:22:00 · 720 阅读 · 0 评论 -
SDL—威胁建模TARA
ackson Wynn等人于2011年在MITRE公司开发了“威胁评估和补救分析(Threat Assessment and Remediation Analysis,TARA。TARA相对于PASTA来说,会更加关注风险修复结果,并且接入了威胁库,对威胁进行了更加详细的评定。在TARA分析的底层实际上依旧采用的是STRIDE分析方式。TARA的目标是抵御受国家级支持的中高层敌人,维持它收到攻击的系统的任务保证。原创 2023-04-01 13:09:44 · 723 阅读 · 0 评论 -
SDL—威胁建模STRIDE
专门拎出来一片来学习威胁建模的详细内容,主要是关注不同的威胁建模方法以及威胁建模实际落地的情况。这里特指的软件安全流程。本篇只针对STRIDE以及它的一个补充进行描述。原创 2023-04-01 12:07:28 · 2061 阅读 · 0 评论 -
SDL—设计
在设计这一模块,主要是针对之前的安全需求,提前设计好软件产品的安全度以及是否满足隐私和合规。原创 2023-03-31 23:49:48 · 798 阅读 · 0 评论 -
SDL—安全要求
之前一直被什么安全需求给影响了,之后看了一些资料之后发现,这安全需求不就是安全的要求的意思嘛,通常是作为这个项目方面,安全的要求是什么,比如拿到了产品设计文档,哪些功能需要进行威胁模型分析,整体需要满足什么安全等级,什么隐私等级要求,以及遵守什么样的安全准则等,安全要求和安全设计的主要区别在于一个是搭建框架,一个是将这个框架内的内容进行填充。比如具体的威胁建模怎么建,标准是什么。目前总结的是基于现在的自身认知和水平,有什么不妥的地方还请各位海涵。原创 2023-03-11 13:12:43 · 677 阅读 · 0 评论 -
SDL—安全培训
软件开发团队的所有成员都必须接受适当的培训,了解安全基础知识以及安全和隐私方面的最新趋势。直接参与软件程序开发的技术角色人员(开发人员、测试人员和程序经理)每年必须参加至少一门特有的安全培训课程。这个是微软针对安全培训的一系列要求,实际上不管是不是要做SDL落地,作为一个公司的安全团队都应该定期的做安全培训,有自己的内部可公开wiki,以及最基础的安全准则。本文脱胎于网上资料,以及一些个人想法。安全培训不仅仅是作为SDL实施前要做的事情,也是安全做一个最基础的普及。原创 2023-03-10 00:26:56 · 503 阅读 · 0 评论 -
避坑指南—GPL开源协议
本文主要目的是为了了解一些基础的GPL注意事项,以及防止被一些一知半解的人蒙骗。本文不做任何内容的依据,仅为个人见解,仅供参考。一些常见的开源协议。原创 2023-03-09 20:37:06 · 4983 阅读 · 0 评论 -
SDL(安全开发生命周期) 笔记
SDL:Security Development Lifecycle 安全开发生命周期,将安全融入到开发的每一个过程中去,以减少软件中漏洞的数量并将安全缺陷降低到最小程度。那么问题就来了,为什么要做这个东西,有什么好处。由于SDL将安全进行左移,在源头就发现漏洞,可以直接进行修复,从而减少后期维护成本,以及和软件功能冲突的问题。原创 2023-03-05 22:44:33 · 517 阅读 · 0 评论