企业软件安全开发建设

最新推荐文章于 2025-10-23 09:19:05 发布
原创 最新推荐文章于 2025-10-23 09:19:05 发布 · 868 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了企业软件安全开发的三种路径,重点讨论了SDL和DevSecOps,并强调了安全左移的重要性。通过安全知识库、威胁建模、源代码扫描等工具,实现安全流程的整合,以降低成本并提高产品质量。同时,列举了多个开源工具在不同阶段的应用,为企业安全建设提供参考。

  目前国内据我所知企业软件安全开发建设大致分为3类,一类走SDL路线,起源于微软,一类走DevSecOps,起源于Gartner 研究公司的分析师 David Cearley,“它是糅合了开发、安全及运营理念以创建解决方案的全新方法”。第三类无拘无束,走企业自己的路,SDL内容和DevSecOps内容都借鉴也都不走寻常路(基本还是原始管理方式加前两者的改进)。我这里介绍的参考了SDL和DevSevOps内容。

下图是DevSecOps的常见模型,

file

​ 研究DevSecOps需要先理解DevOps是干啥的,DevOpsDevelopment和Operations的组合词)是一种重视“软件开发人员(Dev)”和“IT运维技术人员(Ops)”之间沟通合作的文化、运动或惯例。透过自动化“软件交付”和“架构变更”的流程,来使得构建、测试、发布软件能够更加地快捷、频繁和可靠(引自维基百科)。说人话就是DevOps是让企业开发自己的软件更有产出,

file

file

​ 但是Sec也是就是安全部分仍然相对独立在项目流程外,DevSecOps就是解决安全融入项目质量提高的过程。为什么要这么搞也很好理解——省钱,就目前历史教科书上对王朝统治者搞了啥动作大部分的解释都可以收束为——维护王朝统治,企业搞一切动作都要有个收益问题,之前安全部门不能和群众们打成一片就会影响效率,降低收益。

最低0.47元/天 解锁文章
软件安全开发服务资质认证自评价表.doc
11-17
以上知识点体现了软件安全开发的全面性和系统性,要求企业在整个开发流程中,从团队建设、管理计划、配置管理、变更控制、风险管理到具体的编码实践和测试环节,都要把安全作为核心考量因素,确保软件产品在交付时...
软件应用系统安全建设方案
无极低码
07-01 927
4.10.3.5. 数据库中每个字段的规范描述。4.4.1. 跨站点脚本(XSS)防范。4.10.2.2. 表名命名规范示例。4.10.3.2. 字段命名规范示例。4.10.2. 数据库、表命名规范。4.10.2.1. 数据表命名规范。4.10.3. 数据库字段命名规范。3.3.8. App数据存储安全。4.4.3. 敏感数据的安全防范。4.10.3.1. 字段命名规范。4.10.3.4. 字段类型规范。4.10.1. 数据库命名规范。3.3.7. App二次打包。4.3. 常见WEB潜在问题。
软件安全建设【学习笔记】
煜铭2011
02-18 3292
0x00 背景 学习研读了钉钉安全白皮书,将一些关键点记录如下: 0x01 全链路安全防护 1、客户端安全 应用完整性 重新编译 加壳保护 修改指令调用顺序 环境可信性 模拟器运行检测 越狱和 ROOT 检测 终端进程注入检测 提供应用沙箱环境 病毒检测 数据机密性 安全加密 安全沙箱 ...
开发安全:构建安全开发环境的最佳实践
最新发布
weixin_37801596的博客
10-23 854
在当今数字化时代,软件开发安全性至关重要。开发过程中的安全漏洞可能导致严重的数据泄露和系统被攻击。因此,确保开发环境、开源框架和开发人员及代码的安全性是每个企业必须重视的问题。本文将详细介绍开发安全方面的最佳实践,帮助企业构建更加安全可靠的开发环境。
软件安全开发
sparename的博客
10-11 2255
软件安全开发软件安全开发生命周期软件安全需求及设计软件安全实现软件安全测试软件安全交付 软件安全开发生命周期 ◆软件生命周期模型 ◆了解软件生命周期的概念及瀑布模型、迭代模型、增量模型、快速原型模型、螺旋模型、净室模型等典型 ◆软件开发生命周期模型。 ◆软件危机与安全问题 ◆了解三次软件危机产生的原因、特点和解决方案 ◆了解软件安全和软件安全保障的基本概念。 ◆软件安全生命周期模型 ◆了解SDL、 CLASP、CMM、SAM、BSIM等典型的软件安全开发生命周期模型。 软件生命周期模型 ◆软件的定义 ◆软件
企业安全建设
weixin_53386866的博客
03-05 285
企业安全建设 2021/3/5 一.企业安全建设概述 安全建设方向 技术,流程,人 安全建设矛盾 重技术还是重管理 重业务还是重安全 自己做还是请人做 二.企业安全建设思路 从技术维度: 准备阶段 安全自查与整改 模拟攻击 运营监控与应急响应 从管理维度 计划阶段 实施阶段 检查阶段 改进阶段 一般是参照某体系,如iOS27001 Isms 信息安全管理体系 准备阶段 策划阶段 实施和运行 检查 保持和改进 Ios27001 控制域 三.技术维度 准备阶段 确认团队成立 设备资产梳理 网络架构
构建可靠的安全开发过程(一)
陈海明 -全栈
01-06 488
可信计算: 安全的整体分析
精选资源
NIST-软件安全开发框架(中文版).pdf
05-24
- **组织能力建设**(Prepare the Organization, PO):这一组实践关注于组织内部能力的建设,确保相关人员、流程和技术为实施软件安全开发做好充分准备。例如,明确安全需求、培训员工等。 - **保护软件**(Protect ...
浅谈网络安全体系下的软件安全开发人才培养.pdf
09-20
总结来说,网络安全体系下的软件安全开发人才培养是一个系统性工程,需要理论与实践相结合,基础教育与专业培训相衔接,企业和教育机构相互配合。只有这样,才能培养出真正符合行业需求的高素质软件安全开发人才,为...
外包软件开发安全管理规定-等保安全管理制度.docx
10-27
《外包软件开发安全管理规定》是...综上所述,外包软件开发安全管理规定涵盖了组织结构、责任分配、版权保护、安全测试、监控和记录等方面,为企业建立了一套全面的外包软件安全管理体系,以降低风险,保障业务安全
企业安全应用安全实践
键盘的起始页
05-20 651
大家好,我是花生,某安全团队包工头,经过多年的探索,探索了一套适合当前企业的应用安全实践方法论。希望通过文章可以给中小企业团队提供一些建设经验(大厂轻喷)。 团队介绍:当前应用安全5人,1人主攻白盒代码扫描(规则优化+运营),2人负责评审测试,1人负责团队产品架构、开发相关、数据安全等各种业务,1枚小鲜肉实习生目前熟悉业务中。待招数据安全1名,如有年底观望机会的小伙伴,可与我联系。我们的团队属于小而精,紧张有序的进行日常工作。附近的大厂(某旅游龙头)每组大概10人的配额,安全部门大概50人左右。一般安全.
基于android的app开发_Android App安全质量保障实践分享
weixin_39628247的博客
12-01 456
互联网公司的移动端业务基本都是基于各类App来承载,如果业务种类较多,那么App自身的安全质量(功能设计与编码实现等)保障就是一个比较有挑战的工作。一方面App本身数量较多、更新比较频繁,但是还需要每次针对各个App做到各有侧重的安全保障;另一方面,在人力投入上和其他安全建设方向一样,需要做到尽可能高的投入产出比,避免陷入重复工作困境。那么怎么尽可能以少而优的人力去批量、规模化解决App...
中小企业怎样搭建软件安全开发流程和规范
securitypaper的博客
06-07 1093
安全开发生命周期(SDL)是侧重于**软件开发**的**安全保证**过程。在微软,自2004起,SDL做为全公司(全世界100多个国家/地区的微软团队)的计划和强制政策,在将**安全和隐私**植入软件和企业文化方面发挥了重要作用,已应用于成百上千的微软产品。SDL主要目标**减少软件中漏洞的数量**和**缓解漏洞影响**(比较好理解,通过SDL安全左移了,让开发边写代码,边发现漏洞,边修复漏洞,自然漏洞就少了,在架构设或系统上线部署等环节的安全防御机制,让利用更难了,你原来写了一个SQL没有waf,可能直接
安全软件开发最佳实践指南:了解您的项目要求 | 概述项目 | 定义项目愿景 | 确定合规性要求 | 选择灵活的编程语言 | 定义软件开发流程 | 为项目选择合适的工具 | 设置 DevSecOps
Polelink北汇信息的博客
12-08 826
在任何新的软件开发项目开始时都应考虑软件安全性。开始一项工作可能会让人望而却步,因为需要做出许多决定,并且必须仔细考虑。这通常包括定义项目需求、选择正确的流程、选择正确工具和确保软件安全
如何在软件研发阶段落地安全实践
华为云官方博客
07-07 1438
做好安全发布我们重点围绕事件响应计划、安全性检查、软件签名证书三个方面来看一下。
企业安全建设 —体系规划思路,从零基础到精通,收藏这篇就够了!
Libra1313的博客
01-23 1321
按照等级保护、行业合规要求等相关政策,对物理环境安全进行规划设计,从物理位置选择、物理访问控制、防盗窃、防破坏、防雷击、防火、防水、防潮、防静电、温度湿度控制、电力供应、电磁防护等方面进行物理和环境安全建设,确保信息系统在安全可靠的物理环境中运行;依靠全流量、威胁情报和态势感知等技术手段,从网端流量分析、终端流量分析等维度,对APT攻击、定向攻击、勒索软件、web攻击、远控木马、黑市工具、数据库异常登录、恶意邮件等行为进行分析,发现高级威胁和安全事件。全面提升网络安全管理体系,并确保其有效贯彻执行。
APP端上通用安全体系建设
happylishang的专栏
06-15 1186
背景:APP端上安全在谈什么 APP的每个业务场景都有其既定的运行模式,若被人为破坏就可认为是不安全的。举个栗子,比如秒杀场景:大量用户在特定时间点,通过点击抢购来秒杀优惠商品,从而营造一种紧迫而有噱头的营销场景,但如果能通过非法手段自动抢购、甚至提前开始刷接口抢购,那就彻底破坏了业务的玩法,这就是一种不安全的运行模式。再比如常用的用户拉新场景:新客获取成本高达200左右,所有产品的拉新投入都蛮高,如何获得真正的新用户而不是羊毛党也是拉新必须处理的事,一般而言,新设备+新账户是新用户的基本条件,但新账户的成
安全架构--9--企业应用安全体系建设总结
武天旭的博客
04-14 4907
在过去的工作中,我和我的团队基本完成了公司信息安全体系的初步建设,我设计的安全体系架构分为六大块:安全开发体系、安全防御体系、数据安全体系、隐私合规体系、资产管理体系、安全管理体系,六大体系共同构成了完整的信息安全体系。
超好用的devsecops工具(威胁建模工具)
hhhhh109p的博客
11-10 2443
三款 好用的devsecops工具(威胁建模工具),包括工具的对比分析、试用链接、官网链接等内容,一秒直达
NIST软件安全开发框架:实践与集成
"NIST-软件安全开发框架(中文版).pdf" 本文档介绍的是NIST(美国国家标准与技术研究院)的软件安全开发框架(Software Security Development Framework, SSDF),旨在帮助各种规模和行业的组织在软件开发生命周期...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值