安全軟體開發生命週期(Secure SDLC)是軟體開發需要抵禦惡意攻擊的軟件時採用的過程。
該過程包括在軟體開發過程的每個階段中添加一系列針對安全性的活動和可交付成果。
這些活動和可交付成果包括在軟體設計過程中開發威脅模型,在實施過程中使用靜態分析代碼掃描工具以及在重點 "安全推動" 過程中進行程式碼審查和安全測試。
SDLC涉及通過整合可提高軟體安全性的措施來修改軟件開發組織的流程:這些修改的目的不是完全檢查流程,而是添加定義明確的安全檢查點和安全交付項目。
安全需求 在開發過程中,應用程式具有一系列需求。例如,可能需要考慮誰需要使用某個應用程式,這將決定該應用程式是否開放。類似這樣,在開發過程中應考慮許多與安全性相...
概述 設計審查(Design Review)和威脅模型分析(threat modeling)是確保安全的開發生命週期的關鍵組成部分。 通過設計審查,安全團隊可以...
概述 審查實施是一種程式碼輔助的滲透測試,用於發現新產品或功能的實施中的任何安全錯誤。這次審查是安全開發生命週期的關鍵組成部分,在這裡我們可以找到產品的大多數問...
概述 當應用程式安全性確定了漏洞時,需要將該漏洞的風險有效地傳達給團隊,以便及時進行修復。因此,對於應用程式安全性如何對這些漏洞進行分類,需要一套標準的定義。這...
概述 內部和外部發現的軟體安全問題的標準等級量表。初步的目的是設定時間表,並深入了解我們對問題的評分方式。指定的標尺是最小標尺,這意味著根據情況可能會導致某些問...
概述 與大多數現代框架一樣,Microsoft的.Net(DotNet)框架通常可以防止記憶體溢出和程式碼控制(例如:堆疊溢出)模式攻擊。但是,多年來,該框架的...
概述 提供在Node.js中開發更安全程式碼的一般最佳實踐。 建議 始終驗證外部輸入通常軟體中最危險的部分是它將處理不受信任的外部資料的地方。因此這是確保給予...
概述 這是Golang編程語言的一組安全原則。該指南旨在作為應用程序安全團隊的安全軟體開發生命週期(SSDLC)的一部分,為開發團隊和質量保證提供實時的安全參考...
概述 Ruby 程式語言的安全性原則,主要聚焦於 Ruby on Rails Web 框架。 注意事項 跨站請求偽造(CSRF) 預設情況下,Rails包括...