安全开发生命周期
简单了解,不做重点,很多资料没有啃,要学完需要两个月… 今天还学了waf绕过,写了一半存草稿了,最近要早睡点,要犯颈椎病,还是得坚持跑步
什么是应用开发生命周期安全管理?
结合应用开发的需求、设计、开发、测试、上线、运维和废弃等生命周期的各阶段,定义安全目标和控制措施,结合评审、测试、培训等手段,保证开发系统的安全性
为什么要实施应用开发生命周期安全管理?
攻击内容发生了变化
病毒蠕虫
攻击OS DB
攻击应用系统
APT攻击与社工
攻击对象发生了变化
缺乏安全开发技能
运维阶段无法解决开发问题
应用代码程序问题(SQL注入、XSS)
应用系统安全设计失效(验证码绕过)
应用系统安全需求考虑不充分(密码防护)
基础环境漏洞(Apache Struts2、SSL)
应用服务配置不当(IIS、Nginx、JBoss)
因此采用通过安全开发生命周期改进
大致步骤以及内容
需求
识别关键安全目标
安全目标路线图
设计
定义安全架构
确定受攻击面
操作系统
数据库
应用系统
第三方应用
识别威胁
定义安全交付标准
实施
应用编码规范
使用安全测试工具
使用代码分析工具
代码安全人工审核
交给安全员做
测试
代码安全审核
集中式安全测试
Fuzzing测试 基线检测 渗透测试
发布
集成环境
最终安全评审
维护
定期安全评估
应急响应
发布漏洞解决方案