專案啟動:
1、判斷週期是否全覆蓋?網際網路產品、常被使用或部署的任何產品、定期儲存、處理或交換個人身份識別資訊
2、任命安全專員和顧問,全程跟:3-5年開發、pm經驗
3、組建安全領導團隊:定期通過電子郵件溝通、及時更新安全與隱私策略
4、啟動bug跟蹤管理?這個不清楚,後面看
定義並遵從設計最佳實踐
降低受攻擊面
1、禁用某項特性,降低bug可能性:如windows中的iis、各種http動作等
2、從**訪問:本地/受限/遠端、僅管理員/使用者/匿名
3、降低特權
4、其他:udp\tcp、弱\強許可權、不同技術的許可權精細粒度、指令碼安全
產品風險評估
1、安全風險評估:問卷和分析
2、隱私影響分級
風險分析:
威脅建模:資料流圖(場景圖、0級資料流圖)、需保護的資產清單、依等級劃分的系統威脅(stride、同資料型別、同信任邊界、同語言)、消減威脅的措施、應用場景(移動或小型裝置、受眾型別)
外部依賴性(系統加固配置)、安全假設、外部安全備註
建立安全文件、工具以及客戶最佳實踐
安全編碼策略:編譯器最新版本、內建防禦、源**分析工具、編碼安全檢查清單
安全測試:模糊測試-檔案格式、網路協議、api、滲透測試、違禁函式、執行時驗證
安全推進活動
最終安全評審
軟體安全開發生命週期讀書筆記
分階段 0.教育和意識 1.微軟成功的原因在於管理層支援和教育與培訓.2.工程師必須對基本的安全弱點 常見的安全漏洞型別 基本的安全設計有所了解。3.主要教育如下 軟體工程原理 歷史專案總結,經驗,教訓 軟體架構 測試方法 事件交換技術 可信度 可伸縮性 理解未來技術方向 各種技術例如xml,asp...
軟體安全開發生命週期讀書筆記
分階段 0.教育和意識 1.微軟成功的原因在於管理層支援和教育與培訓.2.工程師必須對基本的安全弱點 常見的安全漏洞型別 基本的安全設計有所了解。3.主要教育如下 軟體工程原理 歷史專案總結,經驗,教訓 軟體架構 測試方法 事件交換技術 可信度 可伸縮性 理解未來技術方向 各種技術例如xml,asp...
應用安全 微軟的安全開發生命週期 SDL
0x01 sdl介紹 安全開發生命週期 sdl 即security development lifecycle,是乙個幫助開發人員構建更安全的軟體和解決安全合規要求的同時降低開發成本的軟體開發過程。0x02 sdl流程框架 自2004年起,sdl就成為microsoft全公司的計畫和強制施行政策,其...