iT邦幫忙

鐵人檔案

第 12 屆 iThome 鐵人賽
回列表
Software Development

安全軟體開發生命週期(SSDLC)學習筆記 系列

安全軟體開發生命週期(Secure SDLC)是軟體開發需要抵禦惡意攻擊的軟件時採用的過程。
該過程包括在軟體開發過程的每個階段中添加一系列針對安全性的活動和可交付成果。
這些活動和可交付成果包括在軟體設計過程中開發威脅模型,在實施過程中使用靜態分析代碼掃描工具以及在重點 "安全推動" 過程中進行程式碼審查和安全測試。
SDLC涉及通過整合可提高軟體安全性的措施來修改軟件開發組織的流程:這些修改的目的不是完全檢查流程,而是添加定義明確的安全檢查點和安全交付項目。

鐵人鍊成 | 共 36 篇文章 | 21 人訂閱 訂閱系列文 RSS系列文
DAY 1

安全開發生命週期

資訊安全已發展為擅長於授權和管理人們對機密資訊的訪問權限。但是自動化正在擴大接管如應用程式、伺服器甚至網路,漸漸都不再需要手動配置和部署。我們的系統和交付管道變...

2020-09-16 ‧ 由 HO-HSUN 分享
DAY 2

一般安全概念

1. 概念: 資訊安全的三個基本點 (CIA): * 機密性(Confidentiality) * 完整性(Integrity) * 可用性(Availabil...

2020-09-17 ‧ 由 HO-HSUN 分享
DAY 3

風險管理

定義和術語 一般條款: 風險:損失的可能性 殘留風險:控制後仍然存在的風險 總風險: 風險管理:總體決策過程 識別威脅和漏洞及其影響 確定降低成本 決...

2020-09-18 ‧ 由 HO-HSUN 分享
DAY 4

安全政策法規

1. 法規 * 聯邦訊息安全管理法(Federal Information Security Management Act, FISMA) 由國家標準技...

2020-09-19 ‧ 由 HO-HSUN 分享
DAY 5

軟體開發方法論

確保開發生命週期 原則: 中央情報局 AAA級 美國證券交易委員會 最低特權 職責分離 分層安全,縱深防禦 故障安全:異常管理 機制的經濟性(A-Sim...

2020-09-20 ‧ 由 HO-HSUN 分享
DAY 6

政策解析

CIA 要求: C: 瀏覽人員為何 保密機制 業務需求 I: 變更人員為何 檢測錯誤並強制執行完整性的機制 業務需求 A: 適用於授權用戶...

2020-09-21 ‧ 由 HO-HSUN 分享
DAY 7

資料分類

1. 資料分類 在確定如何處理和保護資料(保護級別)之前,了解資料在資料生成步驟中的各種面向 日期狀態: 已儲存 已建立 已傳送 已變更 已刪除 資料使...

2020-09-22 ‧ 由 HO-HSUN 分享
DAY 8

規格需求

1. 功能要求 * 軟體功能期望 * 業務需求->功能需求 - 標準要求: * 部署平台要求 * 資料庫...

2020-09-23 ‧ 由 HO-HSUN 分享
DAY 9

攻擊面評估

攻擊面評估 攻擊面: 未經授權的各方可以存取的程式碼或資源 禁用不必要的功能 開發團隊中的活動文件 攻擊面測量: 建立或使用已發布的存取權限列...

2020-09-24 ‧ 由 HO-HSUN 分享
DAY 10

核心概念

CIA C: 保密設計: 遮罩:資料顯示在屏幕或打印表格上 加密:資料被傳輸或儲存在事務資料儲存或脫機歸檔中 公開:雜湊,加密 隱藏:隱寫術、浮水印...

2020-09-25 ‧ 由 HO-HSUN 分享