了解和整合軟體開發生命週期(SDLC)中的安全性

0.可行性(Feasibility)
1.專案起始(Initialization)
2.需求(Requirements)
3.設計(Design)
4.發展(Develop)
5.測試/評估(Test/Assess)
6.操作/維護(Operate/Maintain)
7.處置/下線(Dispose/Retire)

• 開發方法：Waterfall、Agile、Software Develop
• 成熟度模型：評估和改進軟體開發過程
• 操作和維護：通過添加硬件和軟體以及其他事件來修改系統
• 變更管理：追踪整個軟體開發程式中的變更。
• 整合產品團隊-專注於產品整個生命週期的服務客戶的小組

識別開發環境中應用安全元件

• 軟體環境的安全性：
  承包商必須符合聯邦採辦指南國防補充條例(DFARS)。
  有一個應用程式安全評估STIG以確保開發人員使用安全的方法進行開發。
  開發環境極易受到攻擊，因此必須進行監視，防病毒，修補和安全控制/強化
• 組態管理是安全開發的一個方面：
  使用基於函式庫的靜態程式碼分析來確保自動組建。
• 程式碼管理的安全性：
  必須具有嚴格的權限才能訪問所有原始碼。
  具有防止資料丟失的功能，因此用戶無法使用已處理的所有程式碼。

評估軟體安全性的有效性

• 審核和記錄更改：
  必須具有正確的版本歷史記錄和更改記錄
• 風險分析和緩解：
  進行風險分析。
  漏洞和錯誤的提交頻率。
  開發中需要花費多長時間進行修復。

評估所購買軟體的安全性影響

所獲取軟體中可能存在漏洞和缺陷。
甚至可能存在惡意軟體或後門。
有多種採購工具可以分析所使用的函式庫或其他產品的安全性

定義並應用安全的開發準則和標準

• 原始碼級別的安全弱點和漏洞：
  應該進行靜態分析以測試漏洞。
  修復滲透測試和模糊測試結果要比將結果提交回主流之前進行修復要昂貴得多。
• 應用程式編程接口的安全性：
  濫用情況/模糊測試接口
• 安全開發實踐：
  ASD STIG，CERT SEI，OWASP排名前10位，SANS排名前25位。