软件开发企业SDL安全培训案例

这篇具有很好参考价值的文章主要介绍了软件开发企业SDL安全培训案例。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1.背景

随着计算机技术的发展、internet及mobile应用的普遍使用,软件安全像功能、性能、稳定性一样是计算机系统的一个非常重要部分。没有安全的软件,任何美好的功能都是徒劳的,没有安全的软件,公司的机密数据、客户隐私、系统的可靠性都得不到保障.如何有效评估、开发安全、可靠的软件是目前无数软件开发企业所面临的重大挑战。

某银行是一个为客户提供高效优质服务的全球性商业银行,,其业务系统越来越多,比如网点柜台、网上银行、网上支付、电话银行、手机短信银行、ATM、自助服务终端、POS、第三方支付对接平台...等. 随着互联网和移动技术的深入,银行业务的发展正在不断深入到人民生活的各个方面,

为了高效开发安全的软件,并在软件的开发过程中使用成熟的软件安全开发过程和安全标准,XXX银行要求端玛科技及其专家团队协助其实现微软安全开发生命周期(SDL)优化模型,并在采纳和实施SDL优化模型过程中提供帮助,以便他们能够从SDL的五个能力领域的最初的基本级水平不断过渡到标准级、高级和动态级。

2.微软安全开发生命周期(SDL)优化模型介绍

微软安全开发生命周期(SDL)优化模型旨在促进微软以外的开发企业逐步、连贯并且以低成本更有效地实现SDL。该模型可以帮助负责企业软件开发生命周期中纳入安全性和隐私的负责人,来评估其目前的状态,并帮助这些负责人带领企业逐步利用微软的成熟过程来生产更安全软件。SDL优化模型让IT开发管理人员和IT决策者制定人员可以对其开发安全性进行评估。这些人员可以以更低成本、循序渐进、始经如一的方式创建更加安全可靠的软件,创建愿景和发展路线图,从而为客户降低风险。

2.1 SDL能力领域

完整的SDL流程说明如下图。绿色箭头部分表示软件开发生命周期中与安全和隐私相关的步骤,这几步通过两端的培训和响应实践来进行提升与加强。

微软的软件开发生命周期

软件开发企业SDL安全培训案例,安全,ffmpeg,信息安全

如果我们将上述内容进行简化,SDL优化模型可以被分组放进五个能力领域。为了帮助SDL优化工作来完成预算计算、计划制定以及人员配置,我们在设计这五个能力领域时,将其与大多数软件开发企业的架构相呼应,并考虑到项目管理、开发、测试及操作中员工的角色。这些基本责任与角色很可能也适用于较小的企业,即使这些小企业的组织结构并没有与此处我们所展示的角色一致,也没有关系。此外,我们还建议建立一个中央安全专家团队来管理活动、提供专家援助和资源,帮助不同团队新的安全和隐私相关的实践。以下部分为大家高度概括了这五个能力领域的内容

2.2.3优化水平3:高级

高级水平中包含的事实上可以验证的工作是很少的,这些工作对于遵守微软SDL要求来说是很有必要的。在这一水平,执行力度是明确的,所有新的、高风险项目都必须实施SDL实践和质量把关。安全和隐私实践已被纳入到整个软件开发生命周期,环环相扣,实现了工作价值的最大化。已部署了安全测试指引,并且使用工具来有效降低成本。安全响应快速、可控,在生命周期较早阶段就开始应用安全和隐私实践有助于减少生产安全软件的总体成本。

2.2.4优化水平4:动态级

具有动态SDL进程的企业能够意识到一个完全实现的SDL可以带来的战略价值,它可以帮助企业保护客户、高效地实现创新、在业界立于不败之地。与高级水平不同的是,高级水平的对象是新的、高风险的产品与项目,动态水平要实现企业级培训目标、在整个企业的所有可应用项目上要求实现软件安全。从本质上来说,动态水平指的是企业已经到达了一个成熟度水平,所有的项目都有SDL使用的历史可以追溯。在每个发布周期都能够达到越来越高的安全要求,并且原有的系统也都合规。团队已经以软件实现了安全的内部开发,不需要中央安全专业团队的支持也可以完成大量的实践。除对事件进行响应之外,可以将安全重点集中在创新、工具定制方面。并且,产品在市场上忆经培育起良好的安全信誉。

2.3 日益提高SDL的成熟度水平

随着企业SDL优化模型中成熟度不断提高,企业也需要提高自身执行方面的目标和SDL成果,应从初步验收合格水平提高到强制执行水平。企业的SDL实践也会升级为技术精通和高效的级别,同时,SDL活动的覆盖面也应从少数几个试点项目扩展到存在有安全和隐私风险的所有产品与服务。下表高度概括了针对各能力领域不能成熟度水平所包含的主要活动。为了让该表更具可读性,从左至右针,活动的各成熟度水平依次升高。

软件开发企业SDL安全培训案例,安全,ffmpeg,信息安全

3.工作建议

某银行希望将微软安全开发生命周期(SDL)优化模型整合到其目前正在开发的手机银行系统中,以手机银行系统作为SDL的试点项目,并在一年时间里,使该项目组织成熟能力由最初的基本级提高到标准级,进而进入高级水平,以此提高手机银行系统的安全性,同时将此过程中整理的策略、标准、最佳实践、培训、分析方法、过程和工具逐渐推广到XXX银行的其它项目。以便后期在整个银行推广SDL。

为了取得本项目的成功,端玛科技及其安全专家团将为某银行提供如下的咨询服务。1. 安全软件开发生命周期(SSDLC)差距分析,主要包含如下的活动。

从访问调查及对现有过程文档进行审查收集信息,以图表形式描述银行目前的软件开发生命周期(SDLC)。

就将策略、过程、工具和关键安全工程活动纳入SDLC提出详细建议。

为银行的开发团队,对关键标准及检查清单进行文档化。

根据安全标准,对新的及现有软件应用进行评估,对评估的正式流程及步骤进行文档化。

将标准翻译解释成为正式的安全需求声明,并纳入到供应商合同与服务等级协议中去。

对实施建议活动所需时间进行量化(即安全代码审查、渗透测试)。

针对具体SDLC建议制定实现纠正路线图。

包括对工具及新安全活动的引入,和/或利用现有工具与设施的方法。

企业内部应用安全专业知识的培训计划。

包括针对特定开发角色与技术所提出的培训建议。

2 .安全软件开发生命周期(SSDLC)过程指导

指导手机银行系统项目团队在需求、设计、实现、测试和部署阶段如何实现SDL优化模型所要求的能力。

3. 针对设计、实现、测试和质量保证进行分团队指导

包含但不限于需求安全和隐私分析、威胁建模、攻击面最小化、代码审计、渗透测试、FUZZ测试、安全评审等。

4. 软件安全培训 - 在整个安全开发生命周期对不同角色提供基本安全培训,如程序员、系统设计师、安全测试人员、架构师、安全人员。

针对30个项目团队及开发人员,提供Java 、iOS 、 Android、攻击技术、web攻击技术、Mobile攻击技术,安全设计、开发、测试的培训。

本文由端玛| DMSCA|代码扫描|代码审计|安全培训|漏洞分析|-端玛安全[官网]

代码审计网|端玛| DMSCA|Checkmarx|Fortify|代码扫描|代码审计|安全培训|漏洞分析|合规要求|VeraCode-代码审计网[官网]文章来源地址https://www.toymoban.com/news/detail-673262.html

到了这里,关于软件开发企业SDL安全培训案例的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 软件开发全套文档案例分享

    在日常项目开发过程中,会产生大量的过程文档,比如开发过程中的文档、管理过程中的文档、产品相关文档等等,那这些文档我们日常怎么去管理呢?怎么去做规划呢?如何做成通用标准呢?小编特地整理了一整套全过程文档。 目录 01 计划阶段 02 需求阶段 03 设计阶段 0

    2024年02月01日
    浏览(44)
  • QT软件开发-基于FFMPEG设计录屏与rtsp、rtmp推流软件(支持桌面与摄像头)(四)

    QT软件开发-基于FFMPEG设计录屏与rtsp、rtmp推流软件(支持桌面与摄像头)(一) https://xiaolong.blog.csdn.net/article/details/126954626 QT软件开发-基于FFMPEG设计录屏与rtsp、rtmp推流软件(支持桌面与摄像头)(二) https://xiaolong.blog.csdn.net/article/details/126958188 QT软件开发-基于FFMPEG设计录屏与rt

    2023年04月19日
    浏览(57)
  • 微服务:解放软件开发的神器,引领企业级应用的未来

    目录 1、什么是微服务? 1.1 微服务的定义 1.2 微服务架构的特点 2、微服务的优势 2.1 灵活性和可扩展性 2.2 模块化开发和部署 2.3 高可用性和容错性 2.4 技术栈的多样性 3、微服务的挑战 3.1 分布式系统的复杂性 3.2 服务之间的通信和协调 3.3 数据一致性和事务管理 3.4 性能监控

    2024年02月22日
    浏览(54)
  • 202308-啊对对队 实验五:软件开发案例(2)

    项目 内容 班级博客链接 2023春软件工程2020级计算机科学与技术 本次作业要求链接 实验五:软件开发案例(2) 团队名称 啊对对队 团队成员分工 赵嘉旺:项目导入,博客撰写;李锋斌:项目导入,博客撰写;杨炜:增量开发 团队课程学习目标 (1)理解MVC软件设计模式(2)

    2024年02月04日
    浏览(49)
  • python界面开发案例:制作一个计算器软件

    前言 大家早好、午好、晚好吖 ❤ ~欢迎光临本文章 在我们手机上大家都有一个计算器,对吧 那它这功能是怎么实现的呢? 今天我们在电脑上来实现一个电脑端计算器界面~ 开发环境: Python 3.8 / 编译器 Pycharm 2021.2版本 / 编辑器 本文所有模块环境源码教程皆可点击文章下方

    2023年04月16日
    浏览(62)
  • 使用企业订货系统后的效果|软件定制开发|APP小程序搭建

    使用企业订货系统后的效果|软件定制开发|APP小程序搭建         企业订货系统是一种高效的采购管理系统,它可以帮助企业更好地管理采购流程,降低采购成本,提高采购效率。         可以帮助企业提高销售效率和降低成本的软件工具。使用该系统后,企业可以轻松地管

    2024年02月08日
    浏览(64)
  • 开发安全、软件供应链安全及开源软件安全的概念差异

    开发安全、软件供应链安全和开源软件安全是在软件生命周期中不同阶段涉及到的安全概念,它们有着一些共同点,同时也存在一些显著的差异。以下是它们之间的比较总结: 范围 : 开发安全 :关注于整个软件开发过程中的安全性,包括代码编写、测试、部署等环节。 软

    2024年03月14日
    浏览(93)
  • 中文编程工具开发语言开发的实际案例:触摸屏点餐软件应用场景实例

    中文编程工具开发语言开发的实际案例:触摸屏点餐软件应用场景实例 软件特色: 1、功能实用,操作简单,不会电脑也会操作,软件免安装,已内置数据库。软件在关闭的时候,可以设置会员数据备份到U盘,数据本机备份一份,U盘备份一份,双重备份数据安全。 2、软件既

    2024年02月08日
    浏览(45)
  • 中文编程开发语言工具编程案例:计时计费管理系统软件连接灯控器编程案例

    计时计费管理系统软件连接灯控器 计时计费管理系统软件连接灯控器编程案例

    2024年02月07日
    浏览(55)
  • 详解自动驾驶安全软件开发流程

    1 引言 自动驾驶汽车开发越来越重视性能、质量和性价比,自动驾驶口碑成为新技术应用取得市场成功的关键,而口碑的建立依赖于相关软件开发流程、周期、时间和质量。一家汽车企业只有拥有或者其软件开发供应商具有成熟的软件开发团队、软件开发流程、可复用的软件

    2024年02月08日
    浏览(46)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包