在应用程序开发开始之前,必须定义一个充分的 SDLC,其中每个阶段要有安全措施。安全要求从安全角度定义应用程序的工作方式。必须对安全要求进行测试。在这种情况下,测试意味着测试需求中所做的假设,并测试需求定义中是否存在差距。例如,如果存在一项安全要求,规定用户必须先注册才能访问网站的白皮书部分,这是否意味着用户必须向系统注册,还是应该对用户进行身份验证?确保要求尽可能明确。用户管理认证授权数据保密性Integrity 完整性会话管理。
本节介绍可在组织内开发的典型测试框架。它可以被看作是一个参考框架,由适用于软件开发生命周期 (SDLC) 各个阶段的技术和任务组成。公司和项目团队可以使用此模型来开发自己的测试框架,并确定供应商的测试服务范围。这个框架不应被视为规定性的,而是一种灵活的方法,可以扩展和塑造以适应组织的发展过程和文化
许多安全从业者仍然将安全测试视为渗透测试领域。如上一章所述,虽然渗透测试可以发挥作用,但它在发现错误方面通常效率低下,并且过度依赖测试人员的技能。它只应被视为一种实施技术,或提高对生产问题的认识。为了提高应用程序的安全性,必须提高软件的安全质量。这意味着在定义、设计、开发、部署和维护阶段测试安全性,而不是依赖等到代码完全构建的昂贵策略。
正如本文档引言中所讨论的,有许多开发方法,例如 Rational Unified Process、eXtreme 和 Agile 开发以及传统的瀑布方法。本指南的目的既不是建议特定的开发方法,也不是提供遵循任何特定方法的具体指导。取而代之的是,我们提出了一个通用的开发模型,读者应该根据他们的公司流程来遵循它。
该测试框架包括应进行的活动:
- 在开发开始之前,
- 在定义和设计过程中,
- 在开发过程中,
- 在部署期间,以及
- 在维护和操作期间。
第 1 阶段:开发开始前
阶段 1.1 定义 SDLC
在应用程序开发开始之前,必须定义一个充分的 SDLC,其中每个阶段要有安全措施。
阶段 1.2 审查政策和标准
最低0.47元/天 解锁文章
3419
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
