1.软件与软件安全
软件质量评估需要很专业的高水平
第三次“软件危机”-21世纪头20年
根源:软件安全
解决方法:软件安全开发生命周期
安全问题内容:
- 可靠性和可用性
- 信息的保密性和完整性
安全问题产生的原因:
- 自身存在安全问题
- 外部威胁
软件安全标准:
千行代码缺陷数量
普通:4~40
高管理软件公司:2~4
美国NASA软件:0.1
CMMI标准
解决安全缺陷的方法:
软件开发生命周期各阶段采取必要措施来减少软件安全漏洞
软件安全左移
把运营端的安全问题向开发端移动
典型软件安全检测技术
SAST:静态应用程序安全测试(静态检测)。在编码饭呢西阶段分析源代码和二进制文件来检测。
DAST:动态检测。模拟黑客攻击的方式来收集和判断程序的反应来确认是否存在安全缺陷。
IAST:交互式应用程序安全检测。将静态和动态结合。
SCA:软件成分分析。用于正在使用的开源和第三方组件的一直安全漏洞,以及软件许可限制。
2.OWASP经典项目
OWASP TOP10:web十大安全风险
OWASP Automated Threat Handbook Web Applications:业务逻辑安全
OWASP top ten proactive contrils:为抵御TOP 10而应做的安全意识
OWASP ASVS
OWASP Juice Shop Tool1