项目启动:
1、判断周期是否全覆盖?互联网产品、常被使用或部署的任何产品、定期存储、处理或交换个人身份识别信息
2、任命安全专员和顾问,全程跟:3-5年开发、PM经验
3、组建安全领导团队:定期通过电子邮件沟通、及时更新安全与隐私策略
4、启动bug跟踪管理?这个不清楚,后面看
定义并遵从设计最佳实践
降低受攻击面
1、禁用某项特性,降低bug可能性:如windows中的IIS、各种HTTP动作等
2、从哪里访问:本地/受限/远程、仅管理员/用户/匿名
3、降低特权
4、其他:UDP\TCP、弱\强权限、不同技术的权限精细粒度、脚本安全
产品风险评估
1、安全风险评估:问卷和分析
2、隐私影响分级
风险分析:
威胁建模:数据流图(场景图、0级数据流图)、需保护的资产清单、依等级划分的系统威胁(STRIDE、同数据类型、同信任边界、同语言)、消减威胁的措施、应用场景(移动或小型设备、受众类型)
外部依赖性(系统加固配置)、安全假设、外部安全备注
创建安全文档、工具以及客户最佳实践
安全编码策略:编译器最新版本、内置防御、源代码分析工具、编码安全检查清单
安全测试:模糊测试-文件格式、网络协议、API、渗透测试、违禁函数、运行时验证
安全推进活动
最终安全评审
2116
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
