企业软件安全开发建设

最新推荐文章于 2023-07-01 14:40:58 发布
VIP文章 最新推荐文章于 2023-07-01 14:40:58 发布
阅读量720 收藏 5
点赞数 1
分类专栏: 安全开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/useror/article/details/108260816
版权

  目前国内据我所知企业软件安全开发建设大致分为3类,一类走SDL路线,起源于微软,一类走DevSecOps,起源于Gartner 研究公司的分析师 David Cearley,“它是糅合了开发、安全及运营理念以创建解决方案的全新方法”。第三类无拘无束,走企业自己的路,SDL内容和DevSecOps内容都借鉴也都不走寻常路(基本还是原始管理方式加前两者的改进)。我这里介绍的参考了SDL和DevSevOps内容。

下图是DevSecOps的常见模型,

file

​ 研究DevSecOps需要先理解DevOps是干啥的,DevOpsDevelopment和Operations的组合词)是一种重视“软件开发人员(Dev)”和“IT运维技术人员(Ops)”之间沟通合作的文化、运动或惯例。透过自动化“软件交付”和“架构变更”的流程,来使得构建、测试、发布软件能够更加地快捷、频繁和可靠(引自维基百科)。说人话就是DevOps是让企业开发自己的软件更有产出,

最低0.47元/天 解锁文章
useror
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
软件开发类投标项目全套解决方案模板
04-18
3.4.6最近两年主要开发实施同类型企业相同或类似系统的开发案例 21 3.4.6.1案例合同首尾页 21 3.4.6.2 系统开发主界面截图 22 4 项目解决方案 26 4.1 项目解决方案内容 26 4.1.1 系统总体目标、设计架构、系统...
如何构建软件安全防护壁垒?软件安全的全方位解析
dolazou的专栏
01-05 882
在数字化时代,软件安全是保护个人和企业免受网络威胁的关键。本文深入分析软件开发中的安全挑战,特别强调设计和架构的关键性。文章详细讨论了如何在不同阶段实施安全措施,包括早期引入安全理念,使用工具提升编码质量,以及审慎选择和评估第三方组件。特别提出了AxProtector加密工具在提高软件安全性中的作用,并强调了与用户沟通在构建安全软件中的重要性,最终强调整个行业共同努力的必要性。
打造安全无忧软件应用的十大最佳实践
weixin_49715102的博客
04-17 509
DzuyTran在硬件和软件嵌入式系统,RTOS,移动应用程序和企业系统的设计和开发方面有超过30年的经验。当客户遇到技术问题时,他会帮助他们,协助进行概念验证,并演示静态代码分析工具,并帮助指导客户进行 DevOps 实施流程和持续集成部署。Dzuy拥有国立理工大学计算机科学和计算机工程硕士学位。文章来源:http://bit.ly/41rdMPn。
安全软件开发最佳实践指南:了解您的项目要求 | 概述项目 | 定义项目愿景 | 确定合规性要求 | 选择灵活的编程语言 | 定义软件开发流程 | 为项目选择合适的工具 | 设置 DevSecOps
Polelink北汇信息的博客
12-08 505
在任何新的软件开发项目开始时都应考虑软件安全性。开始一项工作可能会让人望而却步,因为需要做出许多决定,并且必须仔细考虑。这通常包括定义项目需求、选择正确的流程、选择正确工具和确保软件安全
如何在软件研发阶段落地安全实践
华为云官方博客
07-07 1108
做好安全发布我们重点围绕事件响应计划、安全性检查、软件签名证书三个方面来看一下。
中小企业怎样搭建软件安全开发流程和规范
securitypaper的博客
06-07 880
安全开发生命周期(SDL)是侧重于**软件开发**的**安全保证**过程。在微软,自2004起,SDL做为全公司(全世界100多个国家/地区的微软团队)的计划和强制政策,在将**安全和隐私**植入软件企业文化方面发挥了重要作用,已应用于成百上千的微软产品。SDL主要目标**减少软件中漏洞的数量**和**缓解漏洞影响**(比较好理解,通过SDL安全左移了,让开发边写代码,边发现漏洞,边修复漏洞,自然漏洞就少了,在架构设或系统上线部署等环节的安全防御机制,让利用更难了,你原来写了一个SQL没有waf,可能直接
软件应用系统安全建设方案
无极低码
07-01 662
4.10.3.5. 数据库中每个字段的规范描述。4.4.1. 跨站点脚本(XSS)防范。4.10.2.2. 表名命名规范示例。4.10.3.2. 字段命名规范示例。4.10.2. 数据库、表命名规范。4.10.2.1. 数据表命名规范。4.10.3. 数据库字段命名规范。3.3.8. App数据存储安全。4.4.3. 敏感数据的安全防范。4.10.3.1. 字段命名规范。4.10.3.4. 字段类型规范。4.10.1. 数据库命名规范。3.3.7. App二次打包。4.3. 常见WEB潜在问题。
超好用的devsecops工具(威胁建模工具)
hhhhh109p的博客
11-10 1550
三款 好用的devsecops工具(威胁建模工具),包括工具的对比分析、试用链接、官网链接等内容,一秒直达
2023全球软件开发北京大会(公开)PPT汇总(80份).zip
08-14
QCon 2023全球软件开发北京大会(公开)PPT汇总,共80份。 DevOps交付流程演进之路 实时CDP实践 云原生DevOps实践 百万级代码工业软件的云端综合实战 出海公司的合规实践 大规模容器集群降本增效实践 大规模...
EISS 2021 企业信息安全峰会PPT汇总(北京站).zip
09-30
EISS 2021 企业信息安全峰会PPT汇总(北京站),共31份。 一、主会场 网络安全产业的过去、现在与未来 基于机器学习的静态代码扫描结果误报调优实现 从安全意识构建到应用安全落地 混合云时代的威胁管理面面观 二...
django-DefectDojo, DefectDojo是一个开源缺陷跟踪应用程序.zip
09-18
django-DefectDojo, DefectDojo是一个开源缺陷跟踪应用程序 描述 DefectDojo是一个安全程序和漏洞管理工具。 DefectDojo允许你管理应用程序安全程序。维护产品和应用程序信息。安排扫描。分类漏洞和将发现推入缺陷跟踪。 使用DefectDojo将你的发现合并为一个真实的来源。
「风险评估」企业数据安全体系建设 - 应用安全.zip
11-27
「风险评估」企业数据安全体系建设 - 应用安全 等级保护 网络安全 勒索软件 勒索病毒 安全开发
QCon 2022全球软件开发大会上海站(公开)PPT汇总(56份).zip
08-25
将开源及第三方软件治理融入企业级 DevOps 金融科技安全领域的数据资产体系建设实践 聚焦增长,探索 RTC 在互娱应用的新进化 全链路大数据安全平台建设 面向LakeHouse的云存储关键技术及落地实践 面向自动驾驶的 AI ...
安全架构--9--企业应用安全体系建设总结
武天旭的博客
04-14 3558
在过去的工作中,我和我的团队基本完成了公司信息安全体系的初步建设,我设计的安全体系架构分为六大块:安全开发体系、安全防御体系、数据安全体系、隐私合规体系、资产管理体系、安全管理体系,六大体系共同构成了完整的信息安全体系。
浅谈安全“左移”,2022 年的趋势
wolaisongfendi的博客
10-08 980
传统上,安全检测一般只有在必要时才需要开展。比如,当企业需要遵守SOC 2来完成交易时,解决安全性要求就成为当务之急。如果一家公司需要ISO 27001来吸引新的投资者,那么安全就必须得到加强。这种“事后诸葛亮”的心态将安全合规视为需要跨越的一大障碍。如果你跳得不够高,很快你就会摔倒在地。但问题是,如果从正确的角度来看,安全合规可以成为增长的驱动力。更具体地说,一个全面的安全合规计划,它主动考虑到公司的增长方向,本身就鼓励增长,而这个基础就是安全左移。
ISO26262功能安全--产品开发过程
MTALAB 如何绘图
06-05 3482
  目录   1.总体理解 2.概念阶段——吹牛,我们是打草稿的 2.1 相关项定义 2.2 HARA分析 2.3 功能安全目标 2.4 安全需求与安全概念 3. 系统阶段——闭门造神车,我们开始修炼 3.1 技术安全需求(TSC) 3.2 系统架构设计 3.3 安全分析与独立性分析 3.4 软硬件接口(HSI) 4. 硬件阶段——苦其心志,苦练经骨 4.1 硬件架...
软件安全开发 - 流程规范
usstmiracle的博客
03-26 2453
传统软件开发流程软件安全开发流程新增项客户需求收集客户安全需求收集需求分析与澄清分析客户安全需求,制定安全标准和要求,建立安全需求管理、安全与隐私风险评估软件设计在特性设计中结合安全设计规范进行安全设计,对模块进行威胁建模和攻击面分析软件编码安全编码:新代码使用安全函数,老代码替换危险函数,对代码进行安全检视;使用第三方开源工具或者库,需要使用最好的最新的版本构建满足安全编译选项的要求选择安全的构建工具软件测试对安全设计进行分析与评审,输出安全测试用例。
APP端上通用安全体系建设
happylishang的专栏
06-15 660
背景:APP端上安全在谈什么 APP的每个业务场景都有其既定的运行模式,若被人为破坏就可认为是不安全的。举个栗子,比如秒杀场景:大量用户在特定时间点,通过点击抢购来秒杀优惠商品,从而营造一种紧迫而有噱头的营销场景,但如果能通过非法手段自动抢购、甚至提前开始刷接口抢购,那就彻底破坏了业务的玩法,这就是一种不安全的运行模式。再比如常用的用户拉新场景:新客获取成本高达200左右,所有产品的拉新投入都蛮高,如何获得真正的新用户而不是羊毛党也是拉新必须处理的事,一般而言,新设备+新账户是新用户的基本条件,但新账户的成
setuptools-58.0.3.tar.gz
最新发布
05-12
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示中更有效地传达信息。
企业安全开发系统sdl建设指南 电子档
11-02
总之,企业安全开发系统(SDL)建设指南是一份重要的电子文档,它为企业提供了一个可行的安全开发流程,以确保软件安全性和可靠性。通过遵循指南中的步骤和建议,企业可以更好地应对网络安全威胁,保护其信息资产...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值