S+SDLC+业务安全.pdf

安全软件开发生命周期(S-SDLC) 与业务安全 自我介绍培训 • CWASP高级讲师：包悦忠 • 专场培训 1）北京市朝阳区北四环中路8号五洲皇冠国际酒店会议室8 2）高级会员免费参与 软件安全保障 • Software Security Assurance (软件安全 保障) is the process (流程) of ensuring that software is designed (设计) to operate at a level of security that is consistent with the potential harm that could result from the loss, inaccuracy, alteration, unavailability, or misuse of the data and resources (数据和资源) that it uses, controls, and protects. -摘自英文Wikipedia网站 软件安全保障 流程 安全软件开发生命周期(S-SDLC) ——关键要素 部署和 需求 设计 开发 测试 运维 - 安全加固 - 威胁建模 - 安全开发 - 安全测试 - 补丁管理 - 风险评估 - 设计审核 - 代码审核 - 渗透测试 - 漏洞管理 - 攻击面分析 - 安全事件响应 - 动态分析工具 - 安全基线 - 威胁库 - 公共安全组件 - 风险评估模板 - 设计审核模板 - 静态分析工具 - 第三方渗透测 - 扫描、监控、 试 管理工具 培训、政策、组织能力 安全软件开发生命周期(S-SDLC) ——流程与敏捷开发 • 环境初始 • 安全开发 化 • 持续集成 • 威胁建模 • 代码审核 • 更新设计 设计 开发 部署 测试 • 自动化部 • 持续测试 署