按照<产品安全开发流程规范>中的安全流程制度规范,在所有项目在立项时都必须要通知到安全团队,安全团队需要在项目立项时就产品安全评估流程进行贯宣,同时需要对产品最终上线前的安全质量要求进行贯宣并引导输出安全需求,尽早的规避因为后期安全评审阶段无法通过评审导致业务系统无法正常上线
安全需求是考虑到产品上线后由于产品自身潜在的安全问题而带来的经济损失以及时间成本等问题而将安全工作进一步进行左移的SDL关键环节,在安全需求分析阶段安全团队需要对产品自身潜在的安全风险进行风险评估并建立与之对应的安全需求表
在安全需求阶段的主要安全活动包括以下三个方面:
在项目立项之初安全团队需要对安全评估流程进行贯宣,在此阶段安全团队需要重点告知项目组成员应该要关注的安全流程,尤其是把控项目进度的项目经理和负责产品功能需求变更的产品经理,在安全评估流程贯宣期间需要注意以下两个维度:
从以下三个维度对安全需求进行考虑并输出安全需求CheckList(在安全评审阶段需要对安全需求设计表中提出的安全需求进行检查并作为上线前的安全评估依据之一):
在项目立项之初安全团队需要就项目对外发版的安全质量要求进行贯宣,不同的企业可以结合自身特性(金融机构、政府单位等)制定适合自己的安全质量要求,针对不同类型的软件产品制定不同的软件安全质量衡量标准:
安全需求阶段时常会遇到以下问题:
安全需求作为SDL的第二个环节实施时需要特别注意安全评估流程制度的贯宣和安全评审阶段对安全质量的要求声明,如果前期不重视安全后期安全评审时要么就是因为种种原因导致产品无法上线,要么就是走绿色通道使得产品"带病"上线,增加安全风险