专栏首页Bypass【应用安全】S-SDLC安全开发生命周期

【应用安全】S-SDLC安全开发生命周期

0x01 S-SDLC简介

OWASP Secure Software Development Lifecycle Project(S-SDLC)是OWASP组织首个由OWASP中国团队独立发布并主导的研究项目,并在全球范围内正式发布。S-SDLC被越来越多的企业所重视,纷纷开始实施。

S-SDLC是安全软件开发生命周期,是一套完整的,面向Web和APP开发厂商的安全工程方法。帮助软件企业降低安全问些,提升软件安全质量。S-SDLC的理念来源于微软SDL,最终目标是帮助用户减少安全问题,并使用该方法从每个阶段提高总体安全级别。

0x02 项目描述及目标

S-SDLC定义了安全软件开发的流程,以及各个阶段需要进行的安全活动,包括活动指南,工具、模板等,主要包括:
培训:提供安全培训体系,包含安全意识培训,安全基础知识培训,安全开发生命周期流程培训和安全专业知识培训;
需求阶段:如何对软件产品的风险进行评估,建立基本的安全需求
设计阶段:提供安全方案设计及威胁建模
实现阶段:提供主流编程语言的安全编码规范,安全函数库以及代码审计方法
测试阶段:基于威胁建模的测试设计,Fuzzing测试,渗透测试
发布/维护阶段:建立漏洞管理体系

项目目标:
(1)制定面向Web和APP开发企业的安全开发流程
制定动态的安全开发流程,对安全活动及活动要求进行分级,不同类型的软件,可以根据产品的风险及可用的投入资源来确定开发过程中要执行的安全活动,明确活动的输入,输出,执行者及依赖关系;
(2)制定及开发安全基础培训课程
制定安全培训体系,确定不同的角色需要接受的培训内容及培训的周期;开发基础性的培训课程;
(3)根据实践经验,输出各个安全活动的方法指导及模板,主要的安全活动有:安全风险评估、设计Review、威胁建模、基于威胁建模的测试
(4)制定WEB应用/移动应用安全设计指南
(5)制定安全编码(C/C++、JAVA、PHP,C#)
(6)将OWASP现有项目,如开发指南、测试指南融合到软件全开发体系中;

0x03 S-SDLC实践

不少厂商为满足企业软件安全开发的需求,推出了S-SDLC安全咨询,推出了基于“平台+工具+服务”的一体化解决方案。

SecZone S-SDLC解决方案V2.0全景图:

[图片来源于: http://www.seczone.cn/2018/08/01/s-sdlc%E8%A7%A3%E5%86%B3%E6%96%B9%E6%A1%88v2-0/]

1、安全培训

根据行业企业实际需求,定制安全培训

2、安全需求

在项目需求分析阶段引入安全需求,使系统具备一定的安全功能而提高系统安全性是此阶段安全活动的目标。本阶段的安全需求由业务需求提出方提出,研发团队和安全团队共同参与完成安全需求分析。

安全人员需要从业务的角度思考安全风险,然后通过自身丰富的安全攻防经验,更好的挖掘和规避安全风险问题,形成安全需求清单。

3、安全设计

在设计阶段阶段,仔细考虑系统的安全设计和用户隐私问题。

4、安全开发

定制开发者的开发规范,并将安全技术方案开发规范中让安全方案实际落地,便于开发者写出安全的代码。

4、安全测试

基于《Owasp Testing Guide v4》测试框架,构建WEB应用安全测试规范,输出渗透测试报告。

5、安全部署/运维

漏洞、补丁安全事件管理

安全基线,对操作系统、数据库、中间件制定安全加固规范

参考文献:
[1] 轻量级应用安全开发生命周期项目(S-SDLC)
    https://www.owasp.org/index.php/OWASP_Secure_Software_Development_Lifecycle_Project
    http://www.owasp.org.cn/owasp-project/S-SDLC
[2]【交易技术前沿】S-SDLC在证券公司中的探索和实践
    https://mp.weixin.qq.com/s/CzZmM4nAVGREczfBqRc69Q
[3] SecZone S-SDLC解决方案V2.0全景图
    https://mp.weixin.qq.com/s/Fezu2YS39fEKlz972j2K6A

本文分享自微信公众号 - Bypass(Bypass--),作者:Bypass

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-12-12

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 域渗透 | Kerberos攻击速查表

    使用ticket_converter.py在Linux / Windows格式之间转换tickets:

    Bypass
  • 在线检测你的密码是否被泄露

    在互联网上,每天都有网站遭受黑客攻击,用户数据被窃取,这些数据通常包含用户名、密码(加密字段,甚至可能是明文)、电子邮件地址、IP地址等,用户的隐私安全将受到极...

    Bypass
  • 个人经历 | 聊聊我的安全成长之路

    前几天,看到TSRC的小密圈里发起了一个“大神”活动,聊聊初入行时,你心目中/身边的大神,刚看到活动的时候我也去参与了。在这里,重新梳理一下,也借此机会聊聊零基...

    Bypass
  • 全新升级!腾讯云安全运营中心开放内测

    还记得在今年的CSS互联网安全领袖峰会上,我们提出要让安全“举重若轻”,降低企业安全建设的门槛。大量的企业IT小哥都想知道安全管理怎么“轻”,不仅每天要提防黑客...

    腾讯安全
  • 安全从业者,该凭什么赢得你的尊严?

    前天,我写了一篇《赚了20亿美元GandCrab勒索病毒家族的故事》,其实里面还有很多内容我没有提及,在文章的最后,我留下了两段话:

    FB客服
  • 如何构建高效协同的企业级重保体系?答案在这里!

    近年来,企业级安全建设面临混合云、DevSecOps、零信任体系、敏捷开发要求等综合复杂场景引入,安全问题出现了不同于以往的新形态。如何在新形态下做好IPO等关...

    腾讯安全
  • 【企业安全】企业安全架构建设

    aerfa
  • 如何成为一个安全架构师

    如何成为一个安全架构师,安全架构师需要什么样的能力?首先要理解什么是安全架构,安全架构包含哪些组件,如何将这些安全组件合理的组织在一起形成一定的战斗力,这是非常...

    信安之路
  • 来谈一谈你对安全的理解

    在不同的学习阶段以及不同安全岗位对于安全的理解是不一样的,知识星球新推出一个作业功能,我在知识星球提出了一个作业也就是一个问题,问题如下:

    信安之路
  • 谈谈开展信息安全工作的四个权力

    很多刚独立开展安全工作的小伙子本身技术都很好,但是初始做一个人的安全部容易莽撞。笔者尤其记得第一次接触甲方安全岗位时,领导面试问到:“为了公司安全建设,...

    糖果

扫码关注云+社区

领取腾讯云代金券