SDL[项目安全评审]

最新推荐文章于 2024-07-15 17:46:50 发布
最新推荐文章于 2024-07-15 17:46:50 发布
阅读量2.4k 收藏 2
点赞数 1
分类专栏: 杂项
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39325340/article/details/80118473
版权

操作流程

1.分析项目需求流程,功能,架构文档

2.安全风险,stride威胁建模,隐私保护(GDPR)

3.根据流程,功能,架构等提出安全需求【要求能落地】

4.建立草稿

5.建立文档[根据1,2,3 +名词解释,安全需求对应的作用等]

6.平台录入存档

 

风险模型[例子]

 

1.1 数据威胁模型[数据属性:id,name]

注入攻击

越权攻击

XXE攻击

SSRF攻击

未授权攻击

....

1.2 数据安全需求

数据验证

权限控制

数据加密

...

 

2.1 通讯威胁模型[传输协议:htttp; 传输方式: json]

中间人挟持

DDOS

爬虫

重放攻击

...

 

2.2 通讯安全需求

数据加密传输[https]

数据签名+加密+时间戳

会话级别通讯

传输双向验证

...

3.1 流程威胁模型

...

 

3.2 流程安全需求[动作:注册过程,验证码验证过程, 加解密验证过程]

...

 

如下图:

 

 

隐私保护:

 

  • 基本的身份信息,如姓名、地址和身份证号码等;
  • 网络数据,如位置、IP地址、Cookie数据和RFID标签等;
  • 医疗保健和遗传数据;
  • 生物识别数据,如指纹、虹膜等;
  • 种族或民族数据;
  • 政治观点;
  • 性取向。

 

 

 

 

 

 

正式文档期:

todo

平台存档:

todo

 

参考链接:

http://www.aqniu.com/learn/30670.html

http://www.owasp.org.cn/OWASP_Events/SSDL.pdf

_0x00
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SDL已死,应用安全路在何方?
weixin_47208161的博客
03-16 630
前言应用安全仍是重点投入领域SDLC遇到的问题安全并不是安全团队可以独立解决的事情加强设计和部署阶段的投入是大势所趋SDLC适合软件开发,云和devops定义了新...
SDL安全体系实践》话题材料分享
weixin_47208161的博客
04-05 1106
学习材料owasp主动控制项目SDL 成熟度框架:bsimm & OWASP samm威胁建模:McGraw SARA;威胁建模McGrawSARA什么阶段做安全评估适用范围方法...
SDL web安全
09-13
web安全SDL安全开发生命周期,安全运营实践,很专业的技术文章。
SDL---软件安全开发周期(Security Development Lifecycle)
最新发布
物似人非 情有何堪
07-15 1135
何为SDL安全开发生命周期,可以简单的说是将安全融入到开发的每一个过程中去,以减少软件中漏洞的数量并将安全缺陷降低到最小程度。由于SDL安全进行左移,在源头就发现漏洞,可以直接进行修复,从而减少后期维护成本,以及和软件功能冲突的问题。
SDL入门教程(二):2、SDL安全装载与安全退出
lf426的专栏
02-08 3607
作者:龙飞2.1:WasInit可以在Init前使用吗?        我们在介绍SDL_Init()的时候说过,这个函数是调用SDL其他函数之前必须首先调用的函数。但是有一个问题是,我们如何知道SDL_Init是否已经被调用过了呢?于是我们接着认识了SDL_WasInit(),这个函数可以返回Init的状态。如果WasInit用在了Init之前会出现什么问题,或者说,WasInit可以在Init
SDL软件安全开发生命周期
leah126的博客
02-20 1124
软件安全开发生命周期(Software Development Lifecycle, SDL)的产生背景是由于在软件开发过程中,由于开发人员的疏忽或者安全设计的不完善,很容易导致软件存在安全漏洞。这些漏洞可能会被黑客利用,从而造成严重的安全风险和经济损失。为了解决这个问题,微软公司率先在2004年推出了安全开发生命周期模型,并在其软件开发过程中广泛应用。SDL模型主要是为了在软件开发的过程中,从设计、开发、测试到发布的全过程中注重安全性,减少安全漏洞的发生。
安全安全开发SDL
Roda的博客
07-19 5627
安全开发SDL SDL流程: 1、需求分析期 确定安全需求,创建质量门,错误标尺,安全隐私的保护及风险评估。 设计初期需要对需求进行安全评估,主要容易出现的问题如下: 需求需要公开的数据是否影响用户隐私 确认项目计划里程碑中的安全问题点 2、设计期安全问题 确定设计需求,针对各种风险做安全风险建模 设计逻辑是否存在逻辑缺陷bug 安全隐私点的评估 3、编码期 安全函数的使用情况 对于模块点的安全测试 对于复杂业务逻辑的安全测试 4、安全测试 安全测试主要是在项目每一步的安.
安全架构评审实战
guolong1983811的专栏
04-10 778
志刚(返町)美团安全应急响应中心2019-06-14 原创丨志刚(返町) 现任美团安全安全架构师。曾在国内外知名大型互联网公司出任安全专家、架构师等职。在应用系统安全架构评审以及安全方案设计和实施领域拥有丰富的经验。 综述 确定一个应用的安全状况,最直接的方法就是安全评审安全评审可以帮我们发现应用系统中的安全漏洞,也能了解当前系统,乃至整个防护体系中的不足。完整的安全评审会包含安全架构评审安全代码审核和安全测试三个手段。 安全架构评审,着眼于发现安全设计的漏洞,从宏观的...
猪八戒 SDL体系落地实践与系统实现.pdf
03-21
1. 立项阶段:实施安全评审安全开发建议。 2. 开发完成阶段:执行自动化组件扫描、灰盒测试。 3. 测试阶段:安排安全测试排期、黑盒测试和监控扫描。 4. 上线后阶段:进行安全积分考核、安全意识和技能提升培训。 ...
安全运营项目的工作方法
weixin_47208161的博客
12-06 2002
安全运营是工作的一部分安全工作的逻辑安全团队是怎么运作的定义安全运营项目项目运营的要点计划的计划风险的风险运营方案尽量要评审过程的过程做到有法可依沟通和组织进度的监控明确闭环标准项目集的管...
sdl checklist
05-12
SDL是一种基于安全的软件开发方法,它将安全性融入软件开发生命周期的各个阶段。为确保遵守SDL的要求,开发团队需要建立一套SDL清单(SDL Checklist),以确保项目的所有阶段都满足标准。 SDL清单可以分为不同的...
金融科技SDL安全设计Checklist
06-29
金融科技SDL安全设计Checklist,可根据改检测表进行整个WEB安全开发进行标准规范!
企业安全SDL概述篇
王嘟嘟的博客
10-24 1058
整个流程就是7个大项,17个基本点简单的说一下每一个基本点的所有内容,然后再细分文章进行分析和理解。
SDL实践指南】SDL安全设计概述
Fly_鹏程万里
03-27 954
安全设计的目的是在程序研发之初就通过威胁建模等方式发现潜在的安全问题并引入安全功能从而规避安全风险并为安全提供有力保障,由此可见安全设计是随着产品业务的变动而变动的(例如:产品线变化、新增功能等)而并非一成不变,上面美的的安全设计CheckList很好的提炼了一些通用的安全设计很是值得借鉴
SDL[项目生命安全周期解决方案]
0x00的博客
07-05 3897
项目概述 1.1 文档目的 本文档为xx安全团队针对xx项目生命周期给出的安全评估系统方案,意义在于SDL使项目在设计,代码开发,测试中与安全相关的漏洞减到最少和后续安全工作的进行。 1.2 覆盖范围 本文档内容仅覆盖项目生命周期安全控制的实现方式,不包括项目生命周期安全控制平台实现后的具体运营。 1.3 术语定义 SDL安全开发生命周期(SDL)即SecurityDevelopme...
SDL介绍----2、SDL安全设计核心原则
七天
07-06 2261
SDL安全设计核心原则
SDL介绍----1、SDLSDL安全活动
七天
07-06 7437
SDLSDL活动
SDL 安全开发生命周期 详解
一杯咖啡的渗透记忆
08-07 1808
SDL介绍 安全开发生命周期(SDL)即Security Development Lifecycle,是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。 自2004年起,微软将SDL作为全公司的计划和强制政策,SDL的核心理念就是将安全考虑集成在软件开发的每一个阶段:需求分析、设计、编码、测试和维护。从需求、设计到发布产品的每一个阶段每都增加了相应的安全活动,以减少软件中漏洞的数量并将安全缺陷降低到最小程度。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值