技術問答
技術文章
iT 徵才
Tag
聊天室
2025 鐵人賽
登入/註冊
問答
文章
Tag
邦友
鐵人賽
搜尋
第 12 屆 iThome 鐵人賽
DAY
5
0
Software Development
安全軟體開發生命週期(SSDLC)學習筆記
系列 第
5
篇
軟體開發方法論
12th鐵人賽
HO-HSUN
2020-09-20 20:09:58
2018 瀏覽
分享至
確保開發生命週期
原則:
中央情報局
AAA級
美國證券交易委員會
最低特權
職責分離
分層安全,縱深防禦
故障安全:異常管理
機制的經濟性(A-Simple-AP)
完全調解(永不繞開)
開放式設計
最不常見vs利用現有組件
易於用戶使用
最脆弱的聯繫
單點故障
安全與質量
高品質可以是安全的,也可以是不安全的,但是非高品質必為不安全
沒有安全性的質量:漏洞
沒有質量的安全性:未記錄的功能和不當行為,不安全
安全功能與安全軟體開發:
特定元素與軟體的所有元素
SDL組件
團隊意識和教育
關注每個團隊成員的角色和責任:
所有成員:基本安全知識
高階需求:威脅,工具,技術,針對特定類型的團隊成員
閘道和安全要求
意味著必須通過的安全閘道
定期審查有關軟體開發的適當安全要求
阻止缺少或不完整軟體進入下一階段
錯誤追踪
跟踪所有錯誤並在適當的時間進行修復
錯誤的屬性-DREAD:
潛在破壞
重現性
探索
受影響的用戶
發現能力
錯誤範例(Bug Bar):
測量階段,識別不允許生產的錯誤,必須解決
威脅建模
完全定義和描述對正在開發的系統的威脅
資料如何在系統中流動,並提供洞察力,深入了解真正的邊界
威脅類型-STRIDE
欺騙
篡改
拒絕
訊息披露
拒絕服務
特權提升
模糊測試
輸入接口上的測試技術
輸入->輸出,檢查不良行為
兩種類型的輸入:
使用現有資料的變異,
生成基於系統模型的輸入
安全審查
檢查並確保正在執行與安全相關的步驟,且不會造成短路
軟體開發模型
瀑布
螺旋
確定目標
識別並解決風險
開發和測試
計劃下一次迭代
雛形
一次性:構建模擬以獲取有關需求子集的訊息
進化的:
提供某種形式的功能的樣機
通過,可以添加其他元素
敏捷方法:
Scrum:我們用於PLAT票證的產品,產品上的安全元素和積壓訂單均得到及時處理
極限編程(XP)
旨在提高軟體質量和對不斷變化的客戶需求的響應能力
在較短的開發週期中 "發布"
CSI(Container Store Interface)
開源專案
微軟SDL
設計:
設計軟體的安全架構和結構,關鍵字:
識別威脅,建立威脅模型並與團隊成員共享
可以處理眾所周知的安全漏洞類型,例如SQL注入
注意遺留代碼,協議和棄用元素
縱深防禦
教育最終用戶控件,使其能夠對資料做出明智的決定
最小化隱私和曝光問題的資料收集和保留
家長/企業管理設置
敏感資料已加密
按鍵保護
設計簡單
預設值:
默認配置是as(security)ap
通過關閉元素來最小化攻擊面
部署:
部署指南
修補和升級解決方案
通訊:
安全響應功能和開發團隊
終端使用者
顧客
留言
追蹤
檢舉
上一篇
安全政策法規
下一篇
政策解析
系列文
安全軟體開發生命週期(SSDLC)學習筆記
共
36
篇
目錄
RSS系列文
訂閱系列文
21
人訂閱
32
密碼開發方法
33
HTTP標頭開發方法
34
防止常見的Web攻擊開發方法
35
安全密碼儲存開發方法
36
安全系統開發方法
完整目錄
熱門推薦
{{ item.subject }}
{{ item.channelVendor }}
|
{{ item.webinarstarted }}
|
{{ formatDate(item.duration) }}
直播中
立即報名
尚未有邦友留言
立即登入留言
iThome鐵人賽
參賽組數
902
組
團體組數
37
組
累計文章數
12953
篇
完賽人數
112
人
看影片追技術
看更多
{{ item.subject }}
{{ item.channelVendor }}
|
{{ formatDate(item.duration) }}
直播中
熱門tag
看更多
15th鐵人賽
16th鐵人賽
13th鐵人賽
14th鐵人賽
12th鐵人賽
11th鐵人賽
17th鐵人賽
鐵人賽
2019鐵人賽
javascript
2018鐵人賽
python
2017鐵人賽
windows
php
c#
windows server
linux
css
react
熱門問題
因為網路磁碟的關係造成系統自動重新開機
windows server無法使用gpedit.msc
Java證照題目(main() method)
iatf16949資訊稽核
微軟更新重開機很久
iatf16949資訊稽核內容
部屬電腦如何讓每一台開始功能表跟工作列都一樣
請問有推蘪的server , vmware 防毒軟體嗎
瀏覽某網站,時間太長
useCrudSchemas的swtich欄位吃不到網址的參數
熱門回答
iatf16949資訊稽核
因為網路磁碟的關係造成系統自動重新開機
微軟更新重開機很久
請問有推蘪的server , vmware 防毒軟體嗎
windows server無法使用gpedit.msc
熱門文章
第8天,作業系統信任的根憑證 / 魯十二滷肉飯(新北新莊) | 30天滷肉飯
[為你自己學 n8n] 第 9 天,Google 大神駕到:串接服務的必修儀式!
第9天,政府機關公開金鑰基礎建設 GPKI / 大碗公當歸羊肉(新北板橋)| 30天滷肉飯
第8天,Cloudflare Cache / 四神湯、刈包 | 30天板橋湳雅夜市
第9天,Cloudflare SSL 憑證 / 板橋小籠包 | 30天板橋湳雅夜市
IT邦幫忙
×
標記使用者
輸入對方的帳號或暱稱
Loading
找不到結果。
標記
{{ result.label }}
{{ result.account }}