- 1、本文档共17页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
安全开发流程与安全开发生命周期管理.pdf
安全开发流程与安全开发生命周期
Security Development Flow Security Development Lifecycle
目录
? 安全漏洞的危害
? 方案设计过程中的安全问题
? 开发过程中的安全问题
? 测试过程中的安全问题
? 部署过程中的安全问题
? 安全漏洞的原因分析
? 如何从源头开始规避漏洞
? 安全开发流程与SDL简介
? SDL SaaS服务简介
安全漏洞的危害
? 数据泄露(入侵后泄露用户隐私、公司敏感信息)
? 影响服务器完整性(入侵后篡改)
? 影响服务器可用性(不可用或性能低下)
? 法律法规冲突,卷入法务纠纷
? 影响公司声誉,影响用户对公司产品的信心
? 影响公司的生存与发展
方案设计过程中的安全问题
? 架构设计不合理,前后端未有效分离,或数据库向
用户开放
? 依赖客户端安全控制措施
? 关键算法或保护措施薄弱
? 事务完整性没有保障
? 交易过程未形成完整的证据链
? 跨网络空间的访问未校验对方身份
? 未校验数据源的完整性
? 未校验可执行文件、库、配置文件的完整性
开发过程中的安全问题
? 未对用户提交的参数进行合法性校验
? 拼接SQL语句,SQL指令和用户参数的拼接导致SQL
注入漏洞的产生
? 将用户创建的未转义的内容呈现给用户,导致跨站
攻击脚本(XSS)的产生
? 未对Form启用防止跨站请求伪造(CSRF)的随机Token
? 使用路径或路径回溯(../)等作为参数进行传递
? 各种逻辑或权限设计上的缺陷
测试过程中的安全问题
? 缺乏安全测试用例
? 未执行安全测试或安全扫描
? 带着漏洞上线
部署过程中的安全问题
? 弱口令、空口令、通用口令(一个口令在多处使用)
? 数据库向互联网开放
? 备份未经验证,使用备份数据无法还原系统
? 未执行安全配置
? 缺乏基本防护措施(WAF等)
? 无法解决开发上的问题
安全漏洞的原因分析
? 只关注功能实现,忽略安全需求
? 团队的安全开发经验欠缺
? 缺乏安全开发规范或安全开发规范没有融入项目管理
? 缺乏安全开发流程,或项目管理流程未包含安全控制
? 缺乏安全部署标准或规范
? 缺乏评审环节,没有人对交付质量把关
? 缺乏上线/发布流程,未执行安全部署、验收审核
? 安全上缺少投入,寄希望于后期补救
如何从源头开始规避漏洞
? 不使用工具,仅靠双手,无法建起摩天大楼
? 从源头开始规避大部分漏洞,要靠组织和流程保障
? 将安全要素融入项目管理流程,启用安全开发流程,关
键项目阶段要添加相应的安全任务
? 上述安全开发流程,或融入安全要素的项目管理流程,
业界称之为SDL (Security Development Lifecycle, 安全开
发生命周期)。
安全开发流程与SDL简介
? 项目的各个阶段,
有自己的安全任务
? 这些任务如果未完
成,则意味着本阶
段的安全问题/风险
没有解决,带给下
一阶段,并最终带
入生产环境
? 通过流程保障,不
将问题、风险、缺
陷带给下一阶段
SDL推行的传统做法
? 采购SDL顾问咨询服务,并执行全员培训
? 建立安全流程相关的部门,为SDL实施提供组织保障
? 招聘大量安全专业人员,为SDL推行提供专业支持
? 建立标准与规范,含设计规范、开发规范、部署规范等,
为SDL推行提供技术依据
? 建立项目管理流程和项目管理的IT系统
? 建立与规范对应的Checklist模板、测试用例等,作为流程
执行过程中的交付件
? 将安全要素嵌入项目管理流程的各个阶段的关键活动中
(需求确认、同行评审、方案评审、验收等)
SDL传统做法与SDL SaaS的对比
对比 传统SDL推行 SDL SaaS服务
需要建立项目管理、安全管理、安 可以不用建立专职的项目管理、
安全组织
全架构、评审资源池等组织或部门 安全管理或其它流程化组织
没有专职安全人员也能开始使
安全人
您可能关注的文档
- 学校组织机构资料.doc
- 学校编号158887.PDF
- 学校编号323519.PDF
- 学校首推信息技术个性化教学.PDF
- 学渣逆袭被英国5名校录取硕士生.PDF
- 学生主体意识的异化及其回归.PDF
- 学生学习状况评价.pdf
- 学生宿舍卫生情况专项通报(第二学期第7周).PDF
- 学生宿舍卫生情况专项通报(第二学期第8周).PDF
- 学生的事由学生自己做主.PDF
- 2024年证券分析与咨询服务项目投资申请报告代可行性研究报告.docx
- 2024年铬酸酐项目资金申请报告代可行性研究报告.docx
- 2024年清洁胶项目资金申请报告代可行性研究报告.docx
- 2024年肉松饼项目投资申请报告代可行性研究报告.docx
- 2024年陆上泵项目资金需求报告代可行性研究报告.docx
- 2024年未硫化复合橡胶及其制品项目资金需求报告代可行性研究报告.docx
- 2024年精密温控节能设备项目资金筹措计划书代可行性研究报告.docx
- 2024年汽车覆盖件模具项目资金筹措计划书代可行性研究报告.docx
- 宋词行书钢笔字帖.pdf
- 我的暑假生活作文三年级300字10篇.pdf
文档评论(0)