开发安全运营项目学习笔记

最新推荐文章于 2024-03-21 22:04:51 发布
最新推荐文章于 2024-03-21 22:04:51 发布
阅读量266 收藏
点赞数
分类专栏: 安全项目管理 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43650289/article/details/112292877
版权

概况

——某软件

开始不太了解项目,目的不明确,客户也不太明确自己的想法;多次沟通多次尝试;国内外不一样;从小到大的点入手【app合规】;安全投入还可以;企业文化不一样;

  • SDL项目(能力输出、运营服务)
  • 有大量国外的法律法规要求【美资公司,开发中国人,业务大部分国外】
  • 带头人是开发负责人,实际运营
  • 想做SDL但没有合适的入手点

总体上是 :安全工作不全面,不闭环。没长远规划;安全漏洞发现不及时,不完整; 安全风险的缓解和预防,不能起到长期作用;

亮点

  • 结果为导向(做与不做的区别)
  • 陪伴式服务(建立规范流程)
  • 重在赋能(基本认识、操作、培训)
  • 产品服务化(自研产品体系化,产品方案化服务化完整性、工具平台是保障)

专家人员是关键:咨询、安全开发建设、方案、攻防;   有机结合

思路

分析

培训 —— 需求 —— 设计 —— 实施 —— 验证 —— 发布 —— 响应 

通过一期建设,即完成典型建设的第一阶段;同时 超前开启了安全开发前期的关键工作,全流程工作已覆盖关键业务系统、项目

收获

对整个SDL运作有了感性认识;

开发安全事件大大降低;

对专职人员岗位设定有了明确的规定

改进和建议

需要更加灵活和模块化、提升能力、控制人员消耗

战神/calmness
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
安全运营项目的工作方法
weixin_47208161的博客
12-06 1954
安全运营是工作的一部分安全工作的逻辑安全团队是怎么运作的定义安全运营项目项目运营的要点计划的计划风险的风险运营方案尽量要评审过程的过程做到有法可依沟通和组织进度的监控明确闭环标准项目集的管...
项目开发安全经验总结
CaThi的博客
01-26 4334
项目开发安全管理总结 1、 安全思维 a) 严格控制权限,最小业务授权; b) 记录详细日志,快速完整识别追查问题发生的位置; c) 定时备份(完整备份、每日增量备份),增加业务恢复可能; d) 核心数据加密,减少泄露损失; e) 定时检测(特别是晚上10点到凌晨6点),关注异常行为。 2、 Linux/Windows服务器安全 a) 系统安全 i. 使用稳定高版本的成熟系统 ii. 定时升级软件...
《白帽子讲WEB安全学习笔记之第18章 安全运营
weixin_34370347的博客
10-08 152
第18章 安全运营18.1 把安全运营起来战略:q 寻找漏洞并修补--漏洞修补q 防御快速响应--安全监控q 规范开发流程--***检测18.2 漏洞修补流程流程:q 建立类似Bug Tracker的漏洞跟踪机制,并为漏洞的紧急程序选择优先级q 建立漏洞分析机制,并与程序员一起制定修补方案,同时review补丁的代码实现q 对曾经出现的漏洞进行归档,并定期统计漏洞...
安全运营
weixin_30871905的博客
07-18 552
安全运营 —— 贯穿产品研发、业务运行、漏洞修复等一系列环节,实行系统的管理方法和流程,将各个环节的安全防控作用有机结合,保障整个业务的安全性。 Secure at the Source → Find and Fix & Defend and Defer 1、Secure at the Source 对应安全开发流程(SDL),它能从源头降低安全风险,提高产品的安全质量。 2、Fin...
信息安全运营
王教主的博客
02-28 3416
概述 安全运营包含5部分:运营管理、事件预防响应、灾难恢复、违规调查、从业道德。 安全运营项目项目 细分项 描述 运营管理 知其所需 权限最小化 职责分离 定期轮岗 特权管理 SLA 资源管理(物理、虚拟、云、介质) 配置管理 基线 变更管理 影响分析、版本控制、配置文档 补丁管理 补丁、漏洞 事件预防响应 响应管理 实践定义、响应计划 落实检测措施 日志检测 日志、监测 审计 效果测评
CISA认证考试学习笔记
10-08
学习笔记针对准备CISA考试的考生,涵盖了考试大纲的重要知识点,分为五个章节,每个章节都对应考试的一个主要领域。 1. **第一章 信息系统审计过程**:这个章节主要探讨信息系统审计的基础概念和流程,包括审计...
谷粒商城项目笔记.zip
01-26
【谷粒商城项目笔记】是一份综合性的学习资源,涵盖了从初级到高级的全面知识,旨在帮助用户深入了解和掌握谷粒商城的开发运营。这份资料可能是由谷粒商城的官方提供,或者是社区中热心开发者整理的精华内容,无论...
测试基础理论学习笔记.pdf
10-26
此外,还可以转向项目经理、产品设计、运维、运营等岗位。软件测试行业前景广阔,随着版本迭代和增量测试,测试人员需要持续学习,以适应不断变化的技术和用户需求。 总之,软件测试不仅是找出错误,也是确保软件...
CRMSys项目笔记
08-10
CRMSys项目是一个典型的客户关系管理系统(CRM)的实现,它涉及到企业日常运营中的销售管理、客户服务、市场营销等关键环节。本文将深入探讨该项目中的核心知识点,结合提供的压缩包文件,从多个方面进行解析。 1. ...
乐优商城官方笔记(全)
05-21
乐优商城官方笔记是针对一个电子商务平台的详细技术文档,旨在帮助开发者、运营人员以及对电商系统感兴趣的读者...通过深入学习这份笔记,可以系统地提升在电商领域的专业技能,为实际项目开发或系统维护打下坚实基础。
安全开发流程与安全开发生命周期管理
10-20
安全开发流程与安全开发生命周期SDL管理介绍,以及在线项目管理、SDL SaaS服务介绍。
web项目开发安全规范
Jalen备忘录
09-14 2106
转自V型知识库(http://www.vxzsk.com/85/cate.html) 1. 【强制】可被用户直接访问的功能必须进行权限控制校验。 说明: 防止没有做权限控制就可随意访问、操作别人的数据,比如查看、修改别人的订单。 (权限和角色绑定) 2. 【强制】用户敏感数据禁止直接展示,必须对展示数据脱敏。 说明: 支付宝中查看个人手机号码会显示成:158****9119,
使用PAM保障开发运营安全
dzqxwzoe的博客
03-21 538
特权访问管理 (PAM) 是指一组 IT安全管理原则,可帮助企业隔离和管理特权访问、管理特权帐户和凭据、控制谁可以获得对哪些端点的管理访问权限级别,并监视用户对该访问权限执行的操作。
我理解的安全运营
热门推荐
斑鸠的博客
07-17 2万+
曾经,安全圈把从业人员分成剑宗和气宗。剑宗是掌握一些招式,不需要长年累月的积累“内力”,有时候就能出奇制胜,搞Web安全的“脚本小子”被划为这一类,而气宗因为需要从汇编、编译原理等晦涩的知识开始,学习曲线比较陡峭,大器晚成,碰到什么不明白的地方就反编译了看看汇编源码,总能知其所以然,搞二进制的被划入这一类。 这两类人,共同看不起的是一类“文职安全工程师” —— 安全管理从业人员 所谓的“文职安...
平衡开发运营安全合规与交付速度之间的矛盾 ——什么是DevSecOps?
m0_50579386的博客
03-18 2346
如果,生命中与遇到的人相处是一个创造情感与信任的旅程,那么DevSecOps也等比例于创造一个值得信任与安全开发之旅。 在不牺牲安全性的情况下不降低速度和减小规模,将安全性构建到软件开发生命周期中,同时最大限度地降低风险、确保合规性并减少摩擦和成本,就是DevSecOps 。
安全开发流程(SDL)
ITSM/ITIL/网络安全/IT运维
07-28 5713
SDL security development lifecycle(安全开发生命周期),是微软提出的从安全角度指导软件开发过程的管理模式。SDL是一个安全保证的过程,起重点是软件开发,它在开发的所有阶段都引入了安全和隐私的原则。自2004年起,SDL一直都是微软在全公司实施的强制性策略。
基于豪猪优化算法CPO-VMD实现信号去噪目标函数为包络信息熵 包络熵 排列熵 样本熵最小附matlab代码.rar
最新发布
07-19
1.版本:matlab2014/2019a/2021a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 5.作者介绍:某大厂资深算法工程师,从事Matlab算法仿真工作10年;擅长智能优化算法、神经网络预测、信号处理、元胞自动机等多种领域的算法仿真实验,更多仿真源码、数据集定制私信+。 替换数据可以直接使用,注释清楚,适合新手
高分项目-基于SpringBoot框架实现的毕业生信息招聘平台(包含全套源码 + 数据库sql + 论文).zip
07-19
项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、数据库、硬件开发、大数据、课程资源、音视频、网站开发等各种技术项目的源码。包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。【项目质量】:所有源码都经过严格测试,可以直接运行。功能在确认正常工作后才上传。【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。【附加价值】:项目具有较高的学习借鉴价值,也可直接拿来修改复刻。对于有一定基础或热衷于研究的人来说,可以在这些基础代码上进行修改和扩展,实现其他功能。【沟通交流】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。鼓励下载和使用,并欢迎大家互相学习,共同进步。
信息系统项目管理师学习笔记概览
"软考项目管理师学习笔记涵盖了信息系统项目管理的多个方面,从基础到具体实践,包括项目立项、招投标、整体管理、范围、时间、成本、质量、人力资源、沟通、风险、采购、合同、文档配置管理、外包、需求管理、组织...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

战神/calmness

你的鼓励是我最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值