【SDL实践指南】安全需求概述

最新推荐文章于 2023-07-07 17:35:18 发布
最新推荐文章于 2023-07-07 17:35:18 发布
阅读量497 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 【SDL实践指南】 文章标签: SDL 安全开发生命周期
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Fly_hps/article/details/129789038
文章强调了在产品开发初期就引入安全团队的重要性,安全需求的挖掘和覆盖应贯穿于项目始终。安全评估需涵盖需求、设计、研发和测试阶段,确保安全评估的持续性和覆盖率。同时,安全质量要求的声明对于内外部系统有所不同,对于采购产品也有明确的安全证明材料要求。文章指出了安全需求阶段的常见难点,如挖掘深度和覆盖广度的问题,提醒前期重视安全以避免后期风险。
文章前言

按照<产品安全开发流程规范>中的安全流程制度规范,在所有项目在立项时都必须要通知到安全团队,安全团队需要在项目立项时就产品安全评估流程进行贯宣,同时需要对产品最终上线前的安全质量要求进行贯宣并引导输出安全需求,尽早的规避因为后期安全评审阶段无法通过评审导致业务系统无法正常上线

安全需求

安全需求是考虑到产品上线后由于产品自身潜在的安全问题而带来的经济损失以及时间成本等问题而将安全工作进一步进行左移的SDL关键环节,在安全需求分析阶段安全团队需要对产品自身潜在的安全风险进行风险评估并建立与之对应的安全需求表

安全活动

在安全需求阶段的主要安全活动包括以下三个方面:

了解本专栏 订阅专栏 解锁全文
SDL实践指南SDL基本介绍
Fly_鹏程万里
03-27 850
SDL(Security Development Lifecycle,安全开发生命周期)是由微软提出的一种从安全角度指导软件开发的管理模式,它主要通过在传统的软件开发生命周期的各个阶段穿插一系列的安全活动来保障和提升产品自身的安全能力
SDL实践指南安全风险评估实施
Fly_鹏程万里
03-27 962
信息安全风险评估是信息安全保障工作的重要内容之一,它与信息系统等级保护、信息安全检查、信息安全建设等工作紧密相关并通过风险发现、分析、评价为上述相关工作提供支持
安全需求分析
m0_74079109的博客
12-12 939
城市燃气系统 SCADA系统主要由调度控制中心、储配站门站、输配站、无人站、重要用户监测点 等组成。SCADA 系统主要由调度控制中心、站控系统及数据传输通讯系统三大部分组成。其特点为调 度中心和子站相互配合的方式。其具体的架构如图所示。GPS时钟 SCADA实时、 GIS服务器 仿真服务器 生产调度应用 服务器历史服务器 服务器交换机防火墙工程师站 操作员站交换机通信运营商汇聚 通信运营商汇聚大屏幕系统防火墙 防火墙路由器 光纤热备冗余。
SDL介绍----1、SDLSDL安全活动
七天
07-06 8134
SDLSDL活动
安全开发生命周期SDL
专注企业信息安全-sec
12-02 8835
安全开发生命周期SDL)是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。 安全应用从安全设计开始,软件的安全问题很大一部分是由于不安全的设计而引入的,微软用多年的经验总结出了安全开发生命周期SDL),并提出了攻击面最小化、STRIDE威胁建模等多种方法辅助安全人员对软件进行安全设计。安全设计对于软件安全的重要性尤为可见。 一、安全开发生命周期SDL)是什么? SDL介绍 安全开发生命周期SDL)即Security Development Lifecyc
SDL[项目生命安全周期解决方案]
0x00的博客
07-05 4099
项目概述 1.1 文档目的 本文档为xx安全团队针对xx项目生命周期给出的安全评估系统方案,意义在于SDL使项目在设计,代码开发,测试中与安全相关的漏洞减到最少和后续安全工作的进行。 1.2 覆盖范围 本文档内容仅覆盖项目生命周期安全控制的实现方式,不包括项目生命周期安全控制平台实现后的具体运营。 1.3 术语定义 SDL安全开发生命周期SDL)即SecurityDevelopme...
SDL安全开发生命周期) 笔记
王嘟嘟的博客
03-05 888
SDL:Security Development Lifecycle 安全开发生命周期,将安全融入到开发的每一个过程中去,以减少软件中漏洞的数量并将安全缺陷降低到最小程度。那么问题就来了,为什么要做这个东西,有什么好处。由于SDL安全进行左移,在源头就发现漏洞,可以直接进行修复,从而减少后期维护成本,以及和软件功能冲突的问题。
"软件安全开发生命周期概述SDL指南实践
软件安全开发生命周期SDL)是一种从安全角度指导软件开发过程的管理模式,是微软提出的一种实践模式。典型的软件开发流程中常常只关注产品功能,而忽视了安全方面的考虑,导致软件开发后出现安全隐患,频繁发生...
SDL实践指南安全风险处理实施
Fly_鹏程万里
03-27 379
信息安全风险管理是信息安全保障工作中的一项重要基础性工作,其核心思想是对管理对象面临的信息安全风险进行管控。信息安全风险管理工作贯穿于信息系统生命周期(规划、设计、实施、运行维护和废弃)的全过程,主要工作过程包括风险评估和风险处理两个基本步骤,风险评估是对风险管理对象所面临的风险进行识别、分析和评价的过程,风险处理是依据风险评估的结果,选择和实施安全措施的过程。
甲方安全建设之SDLC落地心得
黑白的博客
07-07 7754
从敏捷里看到了一点,就是虽然都在强调安全左移,但是好像把后面的安全评估与测试做好,也能得个及格分。毕竟实践是检验真理的唯一标准,考验产品安全安全,极大部分都是看能不能黑进来,既然如此,SDLC存在的价值是什么?当看完本文后,我们不妨回到本文的第一句话,为什么要做SDLC?1.不管是对外沟通还是对上沟通,身为一个产品安全人员,如果能做到很熟悉业务,沟通会高效很多,也会更有底气2.融入业务后,会慢慢知道业务的重点是哪些,慢慢识别风险的优先级,哪些业务适合SDLC,哪些业务适合DevSecOps。
研发说:安全是软件开发的生命线
murphysec的博客
08-30 1473
昨天群里大家聊天,讨论用友中勒索病毒的事情。有位同学发出了收到的公司关于使用用友相关的邮件通知。同时他也也发出了一句话:安全是软件开发的生命线。很多人表示这句话厉害厉害厉害。但是你是否也有这样的疑问——这句话只有安全同学才可以说出来吧。反转,该同学的的确确是一名研发同学。所以说,研发同样在重视着开发安全。......
微软SDL流程终极整理总结
热门推荐
Zichel77的博客
02-11 1万+
微软软件安全开发流程(SDL) 微软SDL(Security Development Lifecycle)流程框架 安全保证的过程,重点是软件开发,但每个阶段都引入了安全和隐私的原则。 正在上传…重新上传取消 主要步骤 安全培训Training 1.1 Core Security Training核心安全培训 提高团队安全意识,对齐安全需求开发团队的所有成员都需要接受适当的安全培训,了解相关的安全知识,培训对象包括开发人员,测试人员、项目经理、产品经理等。项目的中期可开展针对性的培训,例如代码
SDL 安全开发生命周期 详解
一杯咖啡的渗透记忆
08-07 2227
SDL介绍 安全开发生命周期SDL)即Security Development Lifecycle,是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。 自2004年起,微软将SDL作为全公司的计划和强制政策,SDL的核心理念就是将安全考虑集成在软件开发的每一个阶段:需求分析、设计、编码、测试和维护。从需求、设计到发布产品的每一个阶段每都增加了相应的安全活动,以减少软件中漏洞的数量并将安全缺陷降低到最小程度。...
CSS2020聚焦新基建 腾讯发布云原生安全体系 助力客户备战云上“主战场”
程序人生的博客
09-11 1820
9月11日,第六届 CSS互联网安全领袖峰会-产业专场正式在线上举行。本届CSS与腾讯全球数字生态大会合二为一,聚焦数字经济下的安全态势、云时代的安全新思维、生态协同技术演进与应用实践等重要命题。在大会上,腾讯安全正式对外发布腾讯云原生安全防护体系,围绕安全治理、数据安全、应用安全、计算安全和网络安全等层面,搭建完整的云上安全防护架构,助力客户应对数字时代的云上安全挑战。 腾讯高级执行副总裁、云与智慧产业事业群总裁汤道生指出,安全是产业数字化的“底座”,每个单位都需要建立一套适用于数字时代的安全体系,以数据
安全开发流程(SDL
ITSM/ITIL/网络安全/IT运维
07-28 6261
SDL security development lifecycle(安全开发生命周期),是微软提出的从安全角度指导软件开发过程的管理模式。SDL是一个安全保证的过程,起重点是软件开发,它在开发的所有阶段都引入了安全和隐私的原则。自2004年起,SDL一直都是微软在全公司实施的强制性策略。
SDL[项目安全评审]
0x00的博客
04-28 2734
操作流程 1.分析项目需求流程,功能,架构文档 2.安全风险,stride威胁建模,隐私保护(GDPR) 3.根据流程,功能,架构等提出安全需求【要求能落地】 4.建立草稿 5.建立文档[根据1,2,3 +名词解释,安全需求对应的作用等] 6.平台录入存档   风险模型[例子]   1.1 数据威胁模型[数据属性:id,name] 注入攻击 越权攻击 XXE攻击 SSR...
SDL-软件安全设计初探
weixin_43047908的博客
12-24 4733
目录前言SDL介绍SDL作用SDL安全活动安全设计核心原则攻击面最小化基本隐私权限最小化默认安全纵深防御威胁建模STRIDE威胁建模方法STRIDE介绍威胁建模流程数据流图识别威胁缓解措施安全验证总结 前言 SDL介绍 安全开发生命周期SDL)即Security Development Lifecycle,是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。自2004年起,微软将SDL作为全公司的计划和强制政策,SDL的核心理念就是将安全考虑集成在软件开发的每一个阶段:需
QA手册简介目录
qq_21116719的博客
12-06 1140
0.QA职责 1.项目流程 2.标准 3.测试环境 4.测试工具 5.QA基本技能 ①checklsit ②case ③code diff ④sql审核 ⑤监控&报警 ⑥常用组件测试点 ⑦查看日志 ⑧问题排查 6.自动化
Checkstyle-module配置详解
SNIDEL LILYBROWN ANDROID JAVA POSTGRESQL STRUTS EC
11-09 2411
 Checkstyle是一款检查java程序代码样式的工具,可以有效的帮助我们检视代码以便更好的遵循代码编写标准,特别适用于小组开发时彼此间的样式规范和统一。Checkstyle提供了高可配置性,以便适用于各种代码规范,所以除了可以使用它提供的sun的代码标准外,你也可以定制自己的标准。我们可以在eclipse中安装checkstyle的插件,来方便我们的使用。   Checkstyle可以让
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值