鐵人檔案
安全軟體開發生命週期(Secure SDLC)是軟體開發需要抵禦惡意攻擊的軟件時採用的過程。
該過程包括在軟體開發過程的每個階段中添加一系列針對安全性的活動和可交付成果。
這些活動和可交付成果包括在軟體設計過程中開發威脅模型,在實施過程中使用靜態分析代碼掃描工具以及在重點 "安全推動" 過程中進行程式碼審查和安全測試。
SDLC涉及通過整合可提高軟體安全性的措施來修改軟件開發組織的流程:這些修改的目的不是完全檢查流程,而是添加定義明確的安全檢查點和安全交付項目。
資訊安全已發展為擅長於授權和管理人們對機密資訊的訪問權限。但是自動化正在擴大接管如應用程式、伺服器甚至網路,漸漸都不再需要手動配置和部署。我們的系統和交付管道變...
1. 概念: 資訊安全的三個基本點 (CIA): * 機密性(Confidentiality) * 完整性(Integrity) * 可用性(Availabil...
定義和術語 一般條款: 風險:損失的可能性 殘留風險:控制後仍然存在的風險 總風險: 風險管理:總體決策過程 識別威脅和漏洞及其影響 確定降低成本 決...
1. 法規 * 聯邦訊息安全管理法(Federal Information Security Management Act, FISMA) 由國家標準技...
確保開發生命週期 原則: 中央情報局 AAA級 美國證券交易委員會 最低特權 職責分離 分層安全,縱深防禦 故障安全:異常管理 機制的經濟性(A-Sim...
CIA 要求: C: 瀏覽人員為何 保密機制 業務需求 I: 變更人員為何 檢測錯誤並強制執行完整性的機制 業務需求 A: 適用於授權用戶...
1. 資料分類 在確定如何處理和保護資料(保護級別)之前,了解資料在資料生成步驟中的各種面向 日期狀態: 已儲存 已建立 已傳送 已變更 已刪除 資料使...
攻擊面評估 攻擊面: 未經授權的各方可以存取的程式碼或資源 禁用不必要的功能 開發團隊中的活動文件 攻擊面測量: 建立或使用已發布的存取權限列...
