- 应用开发生命周期安全管理:
- 原理:
- 结合应用开发的需求、设计、开发、测试、上线、运维和废弃等生命周期的各阶段,定义安全目标和控制措施,结合评审、测试、培训等手段,保证开发系统的安全性
- 原因:
- 攻击内容发生了变化
- 病毒蠕虫
- 攻击OS、DB
- APT攻击社会工程学
- 攻击应用系统
- 攻击对象发生了变化
- 缺乏安全开发技能
- 运维阶段无法解决开发问题
- 应用程序代码问题(SQL注入、XSS)
- 应用系统安全设计失效(验证码绕过)
- 应用系统安全需求考虑不充分(密码保护)
- 基础环境漏洞(Apache struts2 ssl)
- 应用服务配置不当(IIS、nginx、Jboss)
- 攻击内容发生了变化
- 安全开发管理带来的收益:
- 减少漏洞数量、提高系统安全性
- 降低上线压力,保证项目进度
- 降低安全和运维人员压力
- 规范应用开发各个环节,提高开发人员技能
- 理顺业务、开发、安全部门之间关系
- 业界标准:
- 微软(SDL)| 最广泛:
- 培训、需求、设计、实施、测试、发布、响应
- 思科(CSDL):
- 安全设计
- 安全需求
- 威胁建模
- 安全开发
- 安全开发流程
- 安全开发工具
- 渗透测试
- 设计验证
- 安全设计
- NLST:
- 开始——>获取和开发——>执行——>操作和维护——>发布阶段部署
- OWASP:
-
文章来源:https://www.toymoban.com/news/detail-728746.html
-
- 微软(SDL)| 最广泛:
- 详细流程:
- 图示:
-
文章来源地址https://www.toymoban.com/news/detail-728746.html
-
- 图示:
- 原理:
到了这里,关于安全开发生命周期的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!