官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
前言
在甲方已经工作了一段时间,在做测试的过程中,也看了一些关于安全体系的文章,下面是我对SDL体系的一些初步了解,分享出来与大家共同探讨。
SDL简介
SDL(security development lifecycle)是安全开发生命周期,侧重于软件开发的安全保证过程,构建更安全的软件同时降低开发成本。
SDL的核心理念就是将安全考虑集成在软件开发的每一个阶段:需求分析、设计、编码、测试和维护。从需求、设计到发布产品的每一个阶段每都增加了相应的安全活动,以减少软件中漏洞的数量并将安全缺陷降低到最小程度。
SDL体系一般使用于传统的瀑布式开发,其需求比较固定,流程较长。
SDL目的
过去,企业应对安全问题往往是在上线前甚至上线后通过人工渗透测试、自动化安全扫描等方式发现漏洞,然后反馈至开发人员修改。这种方式存在下面的问题:
1)开发人员修复漏洞的周期长、成本高;
2)问题发现滞后,可能会限于当下技术而搁置安全问题;
3)同样的安全问题频繁出现,安全维护成本居高不下。
SDL就是为了解决这种问题,将安全集合在开发的每个阶段,尽早发现安全漏洞,尽早测试,降低修复安全漏洞的成本。
微软SDL流程
为了应对这些问题,不同企业或组织都提出了SDL模型,目前微软的SDL模型可以说是应用更广泛的一种,接下来一起来看看微软的SDL模型。
从下图可以看出,SDL分为了培训,需求,设计,实施,验证,发布,响应阶段。
流程没有好坏之分,关键是要适合公司的状态,因此,在实际操作的过程中,不可能完全与上面的流程相同,要根据公司的实际情况进行改变。
安全培训
培训是最基础的一部分,旨在提高开发团队全体人员的安全意识,这有利于后续的操作。培训应该当做是一个常态化的工作来做,每周或每个月都应该组织安全培训。
开发和测试团队对安全管理工作的理解和支持是SDL体系顺利实施的基础,因此必须重视人员培训,精心开展相关人员培训工作。
目标:提高团队安全意识,减少安全风险发生
培训对象:开发人员,测试人员、项目经理、产品经理等
培训内容:常见的安全漏洞,不安全的组件列表,不安全函数等等
难点:开发人员时间不易协调