技術問答
技術文章
iT 徵才
Tag
聊天室
2023 鐵人賽
登入/註冊
問答
文章
Tag
邦友
鐵人賽
搜尋
第 12 屆 iThome 鐵人賽
DAY
5
0
Software Development
安全軟體開發生命週期(SSDLC)學習筆記
系列 第
5
篇
軟體開發方法論
12th鐵人賽
HO-HSUN
2020-09-20 20:09:58
1631 瀏覽
確保開發生命週期
原則:
中央情報局
AAA級
美國證券交易委員會
最低特權
職責分離
分層安全,縱深防禦
故障安全:異常管理
機制的經濟性(A-Simple-AP)
完全調解(永不繞開)
開放式設計
最不常見vs利用現有組件
易於用戶使用
最脆弱的聯繫
單點故障
安全與質量
高品質可以是安全的,也可以是不安全的,但是非高品質必為不安全
沒有安全性的質量:漏洞
沒有質量的安全性:未記錄的功能和不當行為,不安全
安全功能與安全軟體開發:
特定元素與軟體的所有元素
SDL組件
團隊意識和教育
關注每個團隊成員的角色和責任:
所有成員:基本安全知識
高階需求:威脅,工具,技術,針對特定類型的團隊成員
閘道和安全要求
意味著必須通過的安全閘道
定期審查有關軟體開發的適當安全要求
阻止缺少或不完整軟體進入下一階段
錯誤追踪
跟踪所有錯誤並在適當的時間進行修復
錯誤的屬性-DREAD:
潛在破壞
重現性
探索
受影響的用戶
發現能力
錯誤範例(Bug Bar):
測量階段,識別不允許生產的錯誤,必須解決
威脅建模
完全定義和描述對正在開發的系統的威脅
資料如何在系統中流動,並提供洞察力,深入了解真正的邊界
威脅類型-STRIDE
欺騙
篡改
拒絕
訊息披露
拒絕服務
特權提升
模糊測試
輸入接口上的測試技術
輸入->輸出,檢查不良行為
兩種類型的輸入:
使用現有資料的變異,
生成基於系統模型的輸入
安全審查
檢查並確保正在執行與安全相關的步驟,且不會造成短路
軟體開發模型
瀑布
螺旋
確定目標
識別並解決風險
開發和測試
計劃下一次迭代
雛形
一次性:構建模擬以獲取有關需求子集的訊息
進化的:
提供某種形式的功能的樣機
通過,可以添加其他元素
敏捷方法:
Scrum:我們用於PLAT票證的產品,產品上的安全元素和積壓訂單均得到及時處理
極限編程(XP)
旨在提高軟體質量和對不斷變化的客戶需求的響應能力
在較短的開發週期中 "發布"
CSI(Container Store Interface)
開源專案
微軟SDL
設計:
設計軟體的安全架構和結構,關鍵字:
識別威脅,建立威脅模型並與團隊成員共享
可以處理眾所周知的安全漏洞類型,例如SQL注入
注意遺留代碼,協議和棄用元素
縱深防禦
教育最終用戶控件,使其能夠對資料做出明智的決定
最小化隱私和曝光問題的資料收集和保留
家長/企業管理設置
敏感資料已加密
按鍵保護
設計簡單
預設值:
默認配置是as(security)ap
通過關閉元素來最小化攻擊面
部署:
部署指南
修補和升級解決方案
通訊:
安全響應功能和開發團隊
終端使用者
顧客
留言
追蹤
檢舉
上一篇
安全政策法規
下一篇
政策解析
系列文
安全軟體開發生命週期(SSDLC)學習筆記
共
36
篇
目錄
RSS系列文
訂閱系列文
21
人訂閱
32
密碼開發方法
33
HTTP標頭開發方法
34
防止常見的Web攻擊開發方法
35
安全密碼儲存開發方法
36
安全系統開發方法
完整目錄
直播研討會
{{ item.subject }}
{{ item.channelVendor }}
{{ item.webinarstarted }}
|
{{ formatDate(item.duration) }}
直播中
立即報名
尚未有邦友留言
立即登入留言
iThome鐵人賽
參賽組數
1123
組
團體組數
52
組
累計文章數
23096
篇
完賽人數
656
人
看影片追技術
看更多
{{ item.subject }}
{{ item.channelVendor }}
|
{{ formatDate(item.duration) }}
直播中
熱門tag
看更多
15th鐵人賽
13th鐵人賽
14th鐵人賽
12th鐵人賽
11th鐵人賽
鐵人賽
2019鐵人賽
2018鐵人賽
javascript
2017鐵人賽
python
windows
php
c#
windows server
linux
css
程式設計
react
vue.js
熱門問題
公司有人常常亂改IP位置(想問有甚麼辦法可以將IP鎖住不給更改)
Chrome 無法連上非Google網站
請問如何在老Tiptop系統,要新建一家公司要怎麼做?
DDR3記憶體 只抓到一半
發現生產厲害的傳統產業,資訊化越厲害,生產能力反而降低?
和朋友討論不出來 ,關鍵字搜尋方法,我也想學EXCEL了
免安裝版軟體開啟權限問體
請問我晚上開發一款工具,早上給公司使用,沒特別條款,法律知識產權還是我的嗎?
Nessus 弱掃問題
請教外網如何連到家裡內部裝置
熱門回答
公司有人常常亂改IP位置(想問有甚麼辦法可以將IP鎖住不給更改)
Chrome 無法連上非Google網站
和朋友討論不出來 ,關鍵字搜尋方法,我也想學EXCEL了
Alma Linux與Rocky Linux,選擇哪一個比較好?
DDR3記憶體 只抓到一半
熱門文章
【資安日報】4月17日,多個廠牌的VPN系統、網路設備遭到鎖定,攻擊者對其發動暴力破解攻擊 Vigor Router Firewall 路由器 防火牆 解法
適合程式開發人員去練功夫
不同網段怎麼互連
在任何雲端上運行:雲端的可移植性你有考慮過嗎?
為了客戶搞LAB,變成在trouble shooting Virtualbox....
IT邦幫忙
×
標記使用者
輸入對方的帳號或暱稱
Loading
找不到結果。
標記
{{ result.label }}
{{ result.account }}