《白帽子讲web安全》读书笔记系列2:SDL

于 2019-03-20 14:54:04 发布
阅读量240 收藏
点赞数
分类专栏: 系统安全 文章标签: 白帽子讲web安全 SDL

SDL:security development lifecycle 安全开发生命周期

微软最早提出,在软件工程中实施,帮助解决软件安全问题的办法。

培训

安全要求

质量门/bug栏

安全和隐私风险评估

设计要求

减小攻击面

威胁建模

使用指定的工具

弃用不安全的函数

静态分析

动态程序分析

模糊测试(fuzzing test)

威胁模型和攻击面评析

事件响应计划

最终安全评析(FSR)

发布/存档

 

SDL适用于软件开发商、瀑布式开发

SAMM适用于自主开发软件的使用者,强调高效、敏捷

 

SDL实战经验

1、与项目经理充分沟通,排出足够的时间

2、规范公司的立项流程,确保所有项目都能通知到安全团队,避免遗漏

3、树立安全部门的权威,项目必须由安全部门审核完成后才能发布

4、将技术方案吸入开发、测试的工作手册

5、给工程师培训安全方案

6、记录所有的安全bug,激励程序员编写安全的代码

 

安全功能 VS 安全的功能

 

开发阶段

1、提供安全的函数

将安全方案写入开发规范中,就真正地让安全方案落了地

2、代码安全审计工具

与其直接检查代码是否安全,不如检查开发者是否遵守开发规范

 

测试阶段

商业安全扫描器:IBM Rational Appscan、WebInspect、Acunetix WVS等

免费安全测试工具:w3af、skipfish等

skipfish:http://code.google.com/skipfish/

 

川中胡子
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
白帽子Web安全读书笔记
冷却
04-04 1492
------ “安全问题的本质是信任的问题” 安全三要素:机密性、完整性、可用性 白帽子兵法:Secure By Default 原则(1:黑白单、白名单 2:最小权限原则)、纵深防御原则、数据与代码分离原则、不可预测性原则 “所有的程序本来也没有漏洞,只有功能,但当一些功能被用于破坏,造成损失时,也就成了漏洞。” 浏览器安全:同源策略、浏览器沙箱(备注:沙箱内的程序要与外界通信时是通过
分享笔记1 之《白帽子web安全
m0_46583081的博客
12-06 402
分享笔记(一)之《白帽子web安全
白帽子WEB安全》学习笔记之第17章 安全开发流程(SDL
weixin_33843947的博客
10-08 158
第17章 安全开发流程(SDL)17.1 SDL简介安全开发是从根源有效地解决安全漏洞问题,而已在软件的生命周期内,这样的开发模式成本更低。SDL过程:q 培训所有的开发人员必须接收适当的安全培训,了解相关的安全知识。q 安全要求明确项目的安全要求。q 质量门/bug栏质量门和bug栏相当于确定安全和隐私质量的最低可接受级别。q 安全和隐私风险评估评估项目中的安全现状...
软件安全开发生命周期读书笔记
cnbird's blog
06-29 2113
软件安全开发生命周期读书笔记
SDL2粒子:SDL2的粒子系统
02-04
【标题】:“SDL2粒子:SDL2的粒子系统” 【正文】: 在游戏开发中,粒子系统是一个重要的组件,用于创建各种视觉效果,如火焰、烟雾、爆炸、水流等。SDL2(Simple DirectMedia Layer 2)是一个跨平台的开发库,常...
FFmpeg4.3开发系列之八:SDL2.0小白入门
07-01
3.扩展库的应用:SDL2_image,SDL2_mixer,SDL2_ttf(图像、音频、字库) 4.官方案例实战:亲手练习官方推荐的几个案例,认真分析总结。     梅老师从事音视频与流媒体行业18年;曾在永新视博、中科大洋、百度、美国...
libnx-SDL2:SDL2 libnx的部分实现
04-28
libnx-SDL2 SDL2 部分实现。 安装: 确保正确安装SDL2(sdl2-config正常工作)。 $ git clone https://github.com/rock88/libnx-SDL2.git $ cd libnx-SDL2 $ make $ export DEVKITPRO=`pwd` 转到(例如,graphics...
py-sdl2:SDL2周围的Python ctypes包装器
05-12
PySDL2是围绕SDL2,SDL2_mixer,SDL2_image,SDL2_ttf和SDL2_gfx库的纯Python包装。 它不依赖C代码,而是使用内置的ctypes模块与SDL2进行接口,并提供简单的Python类和用于通用SDL2功能的包装器。 安装 PySDL2易于...
retro8:SDL2和RetroArch后端的PICO-8实现
01-30
【标题】:“retro8:SDL2和RetroArch后端的PICO-8实现”是一个开源项目,它旨在提供一个使用C++编程语言、基于SDL2库的PICO-8虚拟机实现。PICO-8是一款像素艺术游戏和编程环境,而RetroArch则是一个多平台的模拟器...
05创建公务卡扣减明细表_CASH_USE_MINUSAMT_DETAIL_20240708-刘君.sql
最新发布
07-19
05创建公务卡扣减明细表_CASH_USE_MINUSAMT_DETAIL_20240708-刘君.sql
【BP回归预测】龙格库塔算法优化BP神经网络RUN-BP光伏数据预测(多输入单输出)【含Matlab源码 5171期】.zip
07-19
CSDN海神之光上传的全部代码均可运行,亲测可用,直接换数据就行,适合小白; 1、代码压缩包内容 主函数:Main .m; 数据; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开除Main.m的其他m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作 智能优化算法优化BP神经网络分类预测系列程序定制或科研合作方向: 4.4.1 遗传算法GA/蚁群算法ACO优化BP 4.4.2 粒子群算法PSO/蛙跳算法SFLA优化BP 4.4.3 灰狼算法GWO/狼群算法WPA优化BP 4.4.4 鲸鱼算法WOA/麻雀算法SSA优化BP 4.4.5 萤火虫算法FA/差分算法DE优化BP 4.4.6 其他优化算法优化BP
在UCA上结合DOA估计算法和自适应波束形成matlab代码.rar
07-19
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
【信号分解】基于海鸥优化算法SOA-CEEMDAN实现信号去躁附matlab代码.rar
07-19
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
毕业设计javajspKTV包房管理系统(ssh)-qkrp源码含文档
07-19
毕业设计javajspKTV包房管理系统(ssh)-qkrp源码含文档 后台是ssh框架,页面是jsp,数据库mysql,jdk1.8,开发工具用ecplise、myecplise、sts、idea都可以 采用全新的计算机网络和管理系统,将成为提高KTV管理效率,改善服务水准的重要手段之一。所以城市KTV包房信息管理系统是KTV经营不可缺少的现代工具。系统的主要功能包括:会员管理、类别管理、包房管理、预订管理。 包含:源码、数据库脚本、论文、环境工具包、相同框架项目的安装教程(在说明文档中)
基于Springboot的图书管理系统论文
07-19
传统信息管理主要依赖管理人员的手工登记与管理。然而,近年来信息技术的快速进步促使许多陈旧的信息管理方式得以更新。特别是图书信息,因其管理内容复杂且数量庞大,手工处理方式已难以满足广大用户的需求,于是图书管理系统应运而生。 本图书管理系统设有管理员和用户两种权限。管理员负责管理用户基本信息、公告信息及图书信息,并能与用户进行交流等。用户则可以查看图书信息、公告以及管理员的回复等。 该系统采用WEB应用程序开发中流行的小程序结构模式,使用空间占用小但功能全面的MySQL数据库进行数据存储,并运用了JSP技术进行开发。该图书管理系统有效解决了传统手工操作中的诸多问题,如数据查询耗时长、管理步骤繁琐等。总体而言,该图书管理系统性能稳定、功能完备,且具有较高的性价比。
自监督学习:YOLO模型性能提升的新前沿
07-19
YOLO(You Only Look Once)是一种流行的实时对象检测系统,最初由 Joseph Redmon 等人在 2015 年提出。它的核心思想是将对象检测任务视为一个回归问题,直接从图像像素到边界框坐标和类别概率的映射。YOLO 以其快速和高效而闻名,特别适合需要实时处理的应用场景。 以下是 YOLO 的一些关键特点: 1. **单次检测**:YOLO 模型在单次前向传播中同时预测多个对象的边界框和类别概率,不需要多次扫描图像。 2. **速度快**:YOLO 非常快速,能够在视频帧率下进行实时检测,适合移动设备和嵌入式系统。 3. **端到端训练**:YOLO 模型可以从原始图像直接训练到最终的检测结果,无需复杂的后处理步骤。 4. **易于集成**:YOLO 模型结构简单,易于与其他视觉任务(如图像分割、关键点检测等)结合使用。 5. **多尺度预测**:YOLO 可以通过多尺度预测来检测不同大小的对象,提高了检测的准确性。 YOLO 已经发展出多个版本,包括 YOLOv1、YOLOv2(也称为 YOLO9000)、YOLOv3、YOLOv4 和 YOLOv5 等。
【信号分解】基于粒子群优化算法PSO-CEEMDAN实现信号去躁附matlab代码.rar
07-19
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
读书笔记:LeanCloud 知识库 用户使用常见问题.zip
07-19
读书笔记:LeanCloud 知识库 用户使用常见问题
"软件安全开发生命周期概述:SDL指南与实践
SDL涵盖了安全需求分析、安全设计、安全编程、安全测试、安全部署以及安全响应等关键阶段,以确保软件在开发过程中就考虑了安全性,从而减少后期的漏洞和安全风险。 目前,企业和组织逐渐意识到了软件安全的重要性...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值