技術問答
技術文章
iT 徵才
Tag
聊天室
2024 鐵人賽
登入/註冊
問答
文章
Tag
邦友
鐵人賽
搜尋
第 12 屆 iThome 鐵人賽
DAY
5
0
Software Development
安全軟體開發生命週期(SSDLC)學習筆記
系列 第
5
篇
軟體開發方法論
12th鐵人賽
HO-HSUN
2020-09-20 20:09:58
1846 瀏覽
分享至
確保開發生命週期
原則:
中央情報局
AAA級
美國證券交易委員會
最低特權
職責分離
分層安全,縱深防禦
故障安全:異常管理
機制的經濟性(A-Simple-AP)
完全調解(永不繞開)
開放式設計
最不常見vs利用現有組件
易於用戶使用
最脆弱的聯繫
單點故障
安全與質量
高品質可以是安全的,也可以是不安全的,但是非高品質必為不安全
沒有安全性的質量:漏洞
沒有質量的安全性:未記錄的功能和不當行為,不安全
安全功能與安全軟體開發:
特定元素與軟體的所有元素
SDL組件
團隊意識和教育
關注每個團隊成員的角色和責任:
所有成員:基本安全知識
高階需求:威脅,工具,技術,針對特定類型的團隊成員
閘道和安全要求
意味著必須通過的安全閘道
定期審查有關軟體開發的適當安全要求
阻止缺少或不完整軟體進入下一階段
錯誤追踪
跟踪所有錯誤並在適當的時間進行修復
錯誤的屬性-DREAD:
潛在破壞
重現性
探索
受影響的用戶
發現能力
錯誤範例(Bug Bar):
測量階段,識別不允許生產的錯誤,必須解決
威脅建模
完全定義和描述對正在開發的系統的威脅
資料如何在系統中流動,並提供洞察力,深入了解真正的邊界
威脅類型-STRIDE
欺騙
篡改
拒絕
訊息披露
拒絕服務
特權提升
模糊測試
輸入接口上的測試技術
輸入->輸出,檢查不良行為
兩種類型的輸入:
使用現有資料的變異,
生成基於系統模型的輸入
安全審查
檢查並確保正在執行與安全相關的步驟,且不會造成短路
軟體開發模型
瀑布
螺旋
確定目標
識別並解決風險
開發和測試
計劃下一次迭代
雛形
一次性:構建模擬以獲取有關需求子集的訊息
進化的:
提供某種形式的功能的樣機
通過,可以添加其他元素
敏捷方法:
Scrum:我們用於PLAT票證的產品,產品上的安全元素和積壓訂單均得到及時處理
極限編程(XP)
旨在提高軟體質量和對不斷變化的客戶需求的響應能力
在較短的開發週期中 "發布"
CSI(Container Store Interface)
開源專案
微軟SDL
設計:
設計軟體的安全架構和結構,關鍵字:
識別威脅,建立威脅模型並與團隊成員共享
可以處理眾所周知的安全漏洞類型,例如SQL注入
注意遺留代碼,協議和棄用元素
縱深防禦
教育最終用戶控件,使其能夠對資料做出明智的決定
最小化隱私和曝光問題的資料收集和保留
家長/企業管理設置
敏感資料已加密
按鍵保護
設計簡單
預設值:
默認配置是as(security)ap
通過關閉元素來最小化攻擊面
部署:
部署指南
修補和升級解決方案
通訊:
安全響應功能和開發團隊
終端使用者
顧客
留言
追蹤
檢舉
上一篇
安全政策法規
下一篇
政策解析
系列文
安全軟體開發生命週期(SSDLC)學習筆記
共
36
篇
目錄
RSS系列文
訂閱系列文
21
人訂閱
32
密碼開發方法
33
HTTP標頭開發方法
34
防止常見的Web攻擊開發方法
35
安全密碼儲存開發方法
36
安全系統開發方法
完整目錄
直播研討會
{{ item.subject }}
{{ item.channelVendor }}
{{ item.webinarstarted }}
|
{{ formatDate(item.duration) }}
直播中
立即報名
尚未有邦友留言
立即登入留言
iThome鐵人賽
參賽組數
1064
組
團體組數
40
組
累計文章數
22203
篇
完賽人數
602
人
看影片追技術
看更多
{{ item.subject }}
{{ item.channelVendor }}
|
{{ formatDate(item.duration) }}
直播中
熱門tag
看更多
15th鐵人賽
16th鐵人賽
13th鐵人賽
14th鐵人賽
12th鐵人賽
11th鐵人賽
鐵人賽
2019鐵人賽
javascript
2018鐵人賽
python
2017鐵人賽
windows
php
c#
windows server
linux
css
react
vue.js
熱門問題
要怎知道LINE使用者的使用地址
防火牆互通問題
Cisco 防火牆密碼確認正確,可是無法登入
桌面的使用者文件圖標壞掉
函數問題
開啟Microsoft Edge 瀏覽器無法開啟網頁,出現錯誤訊息
一開機就自動鎖定帳戶
bat檔截斷問題
if函數中的>&<&=是否可以使用儲存格代替
小公司 兩台Win Server執行 AD Server ,更新電腦後,需要再多加一組Linux 作業系統來運行資料庫採集
熱門回答
防火牆互通問題
outlook無法收發信
開啟Microsoft Edge 瀏覽器無法開啟網頁,出現錯誤訊息
Palo alto防火牆網頁解密問題?
if函數中的>&<&=是否可以使用儲存格代替
熱門文章
[翻譯]使用AI工具寫程式碼時如何避免「AI幻覺」?
每日一篇學習筆記 直到我做完專題 :( [Day4]
每日一篇學習筆記 直到我做完專題 :( [Day5]
每日一篇學習筆記 直到我做完專題 :( [Day6]
每日一篇學習筆記 直到我做完專題 :( [Day7]
IT邦幫忙
×
標記使用者
輸入對方的帳號或暱稱
Loading
找不到結果。
標記
{{ result.label }}
{{ result.account }}