技術問答
技術文章
iT 徵才
Tag
聊天室
2025 鐵人賽
登入/註冊
問答
文章
Tag
邦友
鐵人賽
搜尋
第 12 屆 iThome 鐵人賽
DAY
5
0
Software Development
安全軟體開發生命週期(SSDLC)學習筆記
系列 第
5
篇
軟體開發方法論
12th鐵人賽
HO-HSUN
2020-09-20 20:09:58
2004 瀏覽
分享至
確保開發生命週期
原則:
中央情報局
AAA級
美國證券交易委員會
最低特權
職責分離
分層安全,縱深防禦
故障安全:異常管理
機制的經濟性(A-Simple-AP)
完全調解(永不繞開)
開放式設計
最不常見vs利用現有組件
易於用戶使用
最脆弱的聯繫
單點故障
安全與質量
高品質可以是安全的,也可以是不安全的,但是非高品質必為不安全
沒有安全性的質量:漏洞
沒有質量的安全性:未記錄的功能和不當行為,不安全
安全功能與安全軟體開發:
特定元素與軟體的所有元素
SDL組件
團隊意識和教育
關注每個團隊成員的角色和責任:
所有成員:基本安全知識
高階需求:威脅,工具,技術,針對特定類型的團隊成員
閘道和安全要求
意味著必須通過的安全閘道
定期審查有關軟體開發的適當安全要求
阻止缺少或不完整軟體進入下一階段
錯誤追踪
跟踪所有錯誤並在適當的時間進行修復
錯誤的屬性-DREAD:
潛在破壞
重現性
探索
受影響的用戶
發現能力
錯誤範例(Bug Bar):
測量階段,識別不允許生產的錯誤,必須解決
威脅建模
完全定義和描述對正在開發的系統的威脅
資料如何在系統中流動,並提供洞察力,深入了解真正的邊界
威脅類型-STRIDE
欺騙
篡改
拒絕
訊息披露
拒絕服務
特權提升
模糊測試
輸入接口上的測試技術
輸入->輸出,檢查不良行為
兩種類型的輸入:
使用現有資料的變異,
生成基於系統模型的輸入
安全審查
檢查並確保正在執行與安全相關的步驟,且不會造成短路
軟體開發模型
瀑布
螺旋
確定目標
識別並解決風險
開發和測試
計劃下一次迭代
雛形
一次性:構建模擬以獲取有關需求子集的訊息
進化的:
提供某種形式的功能的樣機
通過,可以添加其他元素
敏捷方法:
Scrum:我們用於PLAT票證的產品,產品上的安全元素和積壓訂單均得到及時處理
極限編程(XP)
旨在提高軟體質量和對不斷變化的客戶需求的響應能力
在較短的開發週期中 "發布"
CSI(Container Store Interface)
開源專案
微軟SDL
設計:
設計軟體的安全架構和結構,關鍵字:
識別威脅,建立威脅模型並與團隊成員共享
可以處理眾所周知的安全漏洞類型,例如SQL注入
注意遺留代碼,協議和棄用元素
縱深防禦
教育最終用戶控件,使其能夠對資料做出明智的決定
最小化隱私和曝光問題的資料收集和保留
家長/企業管理設置
敏感資料已加密
按鍵保護
設計簡單
預設值:
默認配置是as(security)ap
通過關閉元素來最小化攻擊面
部署:
部署指南
修補和升級解決方案
通訊:
安全響應功能和開發團隊
終端使用者
顧客
留言
追蹤
檢舉
上一篇
安全政策法規
下一篇
政策解析
系列文
安全軟體開發生命週期(SSDLC)學習筆記
共
36
篇
目錄
RSS系列文
訂閱系列文
21
人訂閱
32
密碼開發方法
33
HTTP標頭開發方法
34
防止常見的Web攻擊開發方法
35
安全密碼儲存開發方法
36
安全系統開發方法
完整目錄
熱門推薦
{{ item.subject }}
{{ item.channelVendor }}
|
{{ item.webinarstarted }}
|
{{ formatDate(item.duration) }}
直播中
立即報名
尚未有邦友留言
立即登入留言
iThome鐵人賽
參賽組數
460
組
團體組數
18
組
累計文章數
3758
篇
最後報名日
9/15
看影片追技術
看更多
{{ item.subject }}
{{ item.channelVendor }}
|
{{ formatDate(item.duration) }}
直播中
熱門tag
看更多
15th鐵人賽
16th鐵人賽
13th鐵人賽
14th鐵人賽
12th鐵人賽
11th鐵人賽
鐵人賽
2019鐵人賽
javascript
2018鐵人賽
python
17th鐵人賽
2017鐵人賽
windows
php
c#
windows server
linux
css
react
熱門問題
Jaspersoft 的資料庫連結 出現錯誤:驅動程式無法使用安全通訊端層 (SSL) 加密建立與 SQL Server 的安全連接。
aws ec2 檢查故障問題
尋求git之外的 高效能本機檔案備份 & 版本管理推薦
IIS 管理員 連線功能不見
請問有人遇過在lightsail上部屬fastapi失敗的案例?
port-forwading到遠程網段
Windows 10停止支持?用这工具续命到2032年?
HackerOne的賞金等好久都領不到
熱門回答
尋求git之外的 高效能本機檔案備份 & 版本管理推薦
請問有人遇過在lightsail上部屬fastapi失敗的案例?
aws ec2 檢查故障問題
port-forwading到遠程網段
HackerOne的賞金等好久都領不到
熱門文章
Signal 的核心概念
序: AI 加速編碼後,你該學什麼?
Reactivity 的概念與演進
Signal 與 Proxy、Virtual DOM 的區別
理解 Signal 運作原理
IT邦幫忙
×
標記使用者
輸入對方的帳號或暱稱
Loading
找不到結果。
標記
{{ result.label }}
{{ result.account }}