SDL介绍----1、SDL与SDL安全活动

已于 2022-05-30 14:58:46 修改
阅读量7.4k 收藏 16
点赞数
分类专栏: # 安全开生命周期(SDL) 数据安全 文章标签: SDL与SDL安全活动
于 2021-07-06 13:56:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sycamorelg/article/details/118517542
版权

文章目录

一、安全开发生命周期(SDL)

即Security Development Lifecycle,是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。 自2004年起,微软将SDL作为全公司的计划和强制政策,SDL的核心理念就是将安全考虑集成在软件开发的每一个阶段:需求分析、设计、编码、测试和维护。从需求、设计到发布产品的每一个阶段每都增加了相应的安全活动,以减少软件中漏洞的数量并将安全缺陷降低到最小程度。

安全开发生命周期 (SDL)是侧重于软件开发的安全保证过程,旨在开发出安全的软件应用。

二、SDL安全活动

SDL是微软提出的从安全角度指导软件开发过程的管理模式,在传统软件开发生命周期 (SDLC) 的各个阶段增加了一些必要的安全活动,软件开发的不同阶段所执行的安全活动也不同,每个活动就算单独执行也都能对软件安全起到一定作用。当然缺少特定的安全活动也会对软件的安全性带来影响。

图1:微软SDL安全活动简图
在这里插入图片描述
图2:微软SDL安全活动简图
在这里插入图片描述

SDL的安全活动包括:

1、培训

1.1、核心安全培训
开发团队的所以成员都必须接受适当的安全培训,了解相关的安全知识。
培训对象包括开发人员、测试人员、项目经理、产品经理等。

2、要求

2.1、确定安全要求
在项目确立之前,需要提前与项目经理或者产品owner进行沟通,确定安全的要求和需要做的事情。确认项目计划和里程碑,尽量避免因为安全问题而导致项目延期发布。

2.2、质量门/bug栏
质量门和bug栏用于确定安全和隐私质量的最低可接受级别。
bug栏是应用于整个开发项目的质量门,用于定义安全漏洞的严重性阈值。例如,应用程序发布时不变的包含具有关键或者只要评级的已知漏洞。Bug栏一经设定,便绝不放松。

2.3、安全和隐私风险评估
安全风险评估(SRA)和隐私风险评估(PRA)是一个必需的过程,必须包括以下信息:
①(安全)项目的哪些部分在发布前需要威胁建模?
②(安全)项目的哪些部分在发布前需要进行安全设计评审?
③(安全)项目的哪些部分在发布前需要双方认可的团队进行安全测试?
④(安全)是否存在安全顾问认为有必要增加的安全测试或分析,用以缓解安全风险?
⑤(安全)模糊测试要求的具体范围是什么?
⑥(安全)隐私影响评级?

3、设计

3.1、确定设计就要求
在设计阶段应仔细考虑安全和隐私问题,在项目初期确定好安全需求,尽可能避免安全引起的需求变更。

3.2、分析攻击面
减少攻击面和威胁建模紧密相关,不过他解决安全问题的角度稍有不同。减少攻击面通过减少攻击者利用潜在弱点或漏洞的机会来降低风险。
减少攻击面包括:关闭或者限制对系统服务的访问、应用“最小权限原则”、尽可能进行分层防御等。

3.3、威胁建模
为项目或产品面临的威胁建立模型,明确可能来自的攻击有哪些方面。

4、实施

4.1、使用批准的工具
开发团队使用的编辑器、链接器等相关工具,可能会设计一些安全相关的环节,因此在使用工具的版本上,需要提前与安全团队进行沟通。

4.2、弃用不安全的函数
许多常用的函数可能存在安全隐患,应当禁用不安全的函数和API,使用安全团队推荐的函数。

4.3、静态分析
代码静态分析可以由相关工具辅助完成,其结果与人工分析相结合。

5、验证

5.1、动态分析
动态分析是静态分析的补充,用于测试环节验证程序的安全性。

5.2、模糊测试
模糊测试是一种专门形式的动态分析,它通过故意向指定程序引入不良格式或者随机数据诱发程序故障。模糊测试策略的制定,以应用程序的语气用途,以及应用程序的功能和设计规范为基础。安全顾问可能要求进行额外的模糊测试,或者扩大模糊测试的范围和增加持续时间。

5.3、攻击面评析
项目经常因为需求等因素导致最终的产出偏离原本的设定,因此在项目后期对威胁模型和攻击面进行评析是有必要的,能够及时发现问题并修正。

6、发布

6.1、事件响应计划
受SDL要求约束的每个软件在发布时都必须包含事件响应计划。即使在发布时不包含任何已知漏洞的产品,也可能在日后面临新的威胁。需要注意的是,如果产品中包含第三方的代码,也需要留下第三方的联系方式并加入事件响应计划,以便发生问题时能够及时找到对应的人。

6.2、最终安全评析
最终安全评析(FSR)是在发布之前仔细检查对软件执行的所以安全活动。通过FSR将得出以下三种不同的结果。
①通过FSR。在FSR过程中确定所有安全和隐私问题都得到修复或缓解。
②通过FSR但是存在异常。在FSR过程中确定所有安全和隐私问题都已得到修复或缓解,或者所有异常都已得到圆满解决,无法解决的问题记录下来,在下次发布时更正。
③需上报问题的FSR。如果团队未满足所有SDL要求,并且安全顾问和产品团队无法达成可接受的折中,则安全顾问不能批准项目,项目不能发布。团队必须在发布之前解决所有可解决的问题,或者上报高级管理层进行抉择。

6.3、发布/存档
在通过FSR或者虽有问题但达成一致后,可以完成产品的发布。但发布的同时仍需对各种问题和文档进行存档,为紧急响应和产品升级提供帮助。

7、响应

执行事件响应计划

李沉肩
关注
专栏目录
SDL 开发实战(一):SDL介绍及开发环境配置
weixin_30824599的博客
02-28 1029
一、什么是SDLSDL是 “Simple DirectMedia Layer”的缩写,SDL是一个开源的跨平台的多媒体库,封装了复杂的音视频底层操作,简化了音视频处理的难度。 SDL使用C语言写成,提供了数种控制图像、声音、输出入的函数,可以开发出跨多个平台(Linux、Windows、Mac OS X等)的应用软件。目前多用于开发游戏、模拟器、媒体播放器等多媒体应用领域。 1...
SDL介绍
dianyimo9099的博客
09-23 1637
SDL库的作用说白了就是封装了复杂的视音频底层操作,简化了视音频处理的难度。 以下转自WiKi: SDL(Simple DirectMedia Layer)是一套开放源代码的跨平台多媒体开发库,使用C语言写成。SDL提供了数种控制图像、声音、输出入的函数,让开发者只要用相同或是相似的代码就可以开发出跨多个平台(Linux、Windows、Mac OS X等)的应用软件...
SDL介绍----2、SDL安全设计核心原则
七天
07-06 2275
SDL安全设计核心原则
SDL使用详细说明
u011780419的专栏
12-05 1745
Simple DirectMedia Layer是一个跨平台开发库,旨在通过OpenGL和Direct3D提供对音频、键盘、鼠标、操纵杆和图形硬件的低级别访问。它被视频播放软件、模拟器和流行游戏使用,包括Valve的获奖目录和许多Humble Bundle游戏。SDL正式支持Windows、macOS、Linux、iOS和Android。SDL是用C编写的,与C++一起使用,并且有可用于其他几种语言的绑定,包括C#和Python。此许可证允许您在任何软件中自由使用SDL。pcm操作相关API。
微软 SDL 安全研发生命周期详解
最新发布
m0_61869253的博客
08-04 759
微软SDL(Security Development Lifecycle)是一种安全软件开发的方法论,它强调在整个产品开发过程中融入安全考虑因素。SDL是一个动态的过程,包括多个阶段和活动,以确保产品的安全开发、测试、部署和运行。Microsoft 要求所有开发团队都必须遵守 SDL流程和要求,从而获得更安全的软件,并降低开发成本,减少严重漏洞。当前多数大型企业都借鉴SDL构建了适应于企业内部的安全研发流程。
SDL入门
freeandperson的专栏
04-20 372
SDL是什么         SDL是Simple DirectMedia Layer(简易直控媒体层)的缩写。它是一个跨平台的多媒体库,以用于直接控制底层的多媒体硬件的接口。这些多媒体功能包括了音频、键盘和鼠标(事件)、游戏摇杆等。当然,最为重要的是提供了2D图形帧缓冲(framebuffer)的接口,以及为OpenGL与各种操作系统之间提供了统一的标准接口以实现3D图形。从这些属性我们可以看...
SDL简介
cyq129445的博客
06-06 1937
由于之前玩ffmpeg的时候,经常遇到的就是SDL。但是当时没有时间来细化的学习SDL,也没有什么概念。现在就来记录下自学的过程首先我们需要知道  什么是SDLSDL是 “Simple DirectMedia Layer”的缩写,它是一个开源的项目SDL可以用来做啥?为多媒体编程而设计SDL是一个跨平台的多媒体库,它通过OpenGL和2D视频帧缓冲,提供了针对音频、视频、键盘、鼠标、控制杆及3D硬...
SDL是什么?
tianyu的专栏 - Linux site:blog.csdn.net/wishfly
12-29 1891
·SDL是什么?   SDL(Simple DirectMedia Layer)是一个自由的跨平台的多媒体开发包,适用于 游戏、游戏SDK、演示软件、模拟器、MPEG播放器和其他应用软件。目前支持windows,linux, wince,mac os,非正式地支持symbian os。它被广泛的用于许多著名的游戏。最著名的游戏是赢得LIUNX组游戏开发大奖的 文明:权利的召唤(Civiliz
SDL2支持文件,SDL2-devel-2.30.1-mingw.zip
03-28
VScode中安装LVGL模拟器所使用的依赖下载文件,SDL2-devel-2.30.1-mingw.zip 安装LVGL模拟器的教程如下 https://blog.csdn.net/weixin_49337111/article/details/136536375#comments_31930883
SDL2-devel-2.0.12-VC
11-04
SDL,全称为 Simple DirectMedia Layer,是一个跨平台的多媒体开发库,广泛应用于游戏开发、图形用户界面构建和其他与音频、视频以及输入设备交互的应用。 描述中的 "SDL2-devel-2.0.12-VC" 同样强调了这是针对 ...
SDL2-2.0.8.tar.gz
11-03
1. **SDL2 库**:SDL2 是一个 C 语言编写的应用程序开发库,主要用于处理低级的多媒体任务,如窗口管理、图像渲染、音频播放和输入设备的管理。它为开发者提供了一个抽象层,使其能够在多种操作系统上轻松移植应用...
SDL web安全
09-13
web安全SDL安全开发生命周期,安全运营实践,很专业的技术文章。
SDL-devel-1.2.13-VC6.zip_SDL-devel vc_sdl_sdldevel-1.2
09-23
标题中的"SDL-devel-1.2.13-VC6.zip"表明这是SDL库的开发版本,版本号为1.2.13,并且是专为使用VC6.0编译器的开发者准备的。"vc_sdl_sdldevel-1.2"标签进一步强调了这是针对Visual C++和SDL 1.2开发的资源。 描述中...
SDL2-2.0.1.zip_SDL2-2.0.1.tar._SDL2.0.1
09-24
**SDL2-2.0.1.zip_SDL2-2.0.1.tar._SDL2.0.1** 是一个包含SDL2库2.0.1版本源代码的压缩文件。这个库是游戏开发和多媒体应用的核心组件,为开发者提供了一个跨平台的接口,使其能在不同的操作系统上编写高性能的图形...
SDL建设简介
maowenbei的博客
05-25 1638
SDL建设
SDL Image介绍
专注于移动互联网
12-07 2106
介绍下一个轻量级图片解码库: SDL Image 对比ImageMagic的繁杂,我更喜欢SDL Image。 支持格式:(选自Readme) BMP, PNM (PPM/PGM/PBM), XPM, LBM, PCX, GIF, JPEG, PNG,TGA, and TIFF formats. 06年做DLNA时候,那时经验不足,自己造了一堆轮子,GIF,JPEG,P
SDL软件安全开发生命周期
leah126的博客
02-20 1135
软件安全开发生命周期(Software Development Lifecycle, SDL)的产生背景是由于在软件开发过程中,由于开发人员的疏忽或者安全设计的不完善,很容易导致软件存在安全漏洞。这些漏洞可能会被黑客利用,从而造成严重的安全风险和经济损失。为了解决这个问题,微软公司率先在2004年推出了安全开发生命周期模型,并在其软件开发过程中广泛应用。SDL模型主要是为了在软件开发的过程中,从设计、开发、测试到发布的全过程中注重安全性,减少安全漏洞的发生。
SDL介绍----4、S-SDLC安全开发生命周期
七天
07-06 4147
S-SDLC安全开发生命周期
sdl2-config
11-14
sdl2-config是一个用于配置和查询SDL2开发库的工具。它可以帮助开发人员在他们的项目中正确地使用SDL2库。通过调用sdl2-config命令,开发人员可以获取SDL2库的编译选项、链接选项、版本信息等相关配置信息。这些信息对于编译和链接SDL2库非常重要,因为它们可以帮助开发人员正确地配置他们的项目,以便与SDL2库进行交互。 通过sdl2-config命令,开发人员可以查询SDL2库的路径、包含目录、链接库等信息,这些信息对于编译和链接SDL2库的项目非常有帮助。此外,sdl2-config还可以输出关于SDL2库的版本信息,这对于开发人员来说也很重要,因为他们可以了解他们所使用的SDL2库的版本,从而做出相应的开发决策。 总的来说,sdl2-config是SDL2开发中非常重要的一个工具,它可以帮助开发人员正确地配置他们的项目,使得项目能够正确地使用SDL2库。通过sdl2-config命令,开发人员可以获取SDL2库的各种配置信息,这些信息对于项目的编译、链接和版本控制都非常重要。因此,sdl2-config在SDL2开发中起着非常重要的作用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

李沉肩

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值