软件产品在完成研发后不仅要对业务功能进行功能测试来评判其是否符合需求方的实际需求,同时也需要对产品进行安全测试来检测产品整体的安全性,在SDL流程中产品要想达到发版标准不仅需要满足产品经理和项目经理既定的预期功能业务目标,也要达到安全质量标准
软件产品可以大致分为以下几类:
针对不同类型的软件产品也会有不同的软件安全质量衡量标准:
企业可以根据自身业务的重要性以及行业标准和法律法规对漏洞进行安全定级,下面是一个简易实例:
等级 | 评定标准说明(符合以下条件之一) | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
低 | 1) 未发现明显的安全问题 | ||||||||||
2) 未偏离相关国家行业标准规范要求 | |||||||||||
3) 安全漏洞的利用不会对系统造成明显的安全隐患(如通过安全漏洞的利用只会获取系统组件的某些信息) | |||||||||||
4) 与以上相当危害程度的其他安全漏洞 | |||||||||||
中 | 1) 偏离国家行业相关标准规范要求并且该项偏离会造成部分信息暴露等问题但不会直接引发严重问题(如读取后台数据库) | ||||||||||
2) 安全漏洞的利用会对系统造成一定的影响(如获得通信过程中的某些非敏感信息) | |||||||||||
3) 安全漏洞的利用虽会对系统造成严重影响但很不容易利用 | |||||||||||
4) 与以上相当危害程度的其他安全漏洞 | |||||||||||
高 | 1)偏离国家行业相关标准规范要并且该项偏离会直接引发严重问题(例如:获得程序源代码、可远程读写系统文件或操纵后台数据、可远程以普通用户身份执行命令或进行拒绝服务攻击、可远程以管理用户身份执行命令等) | ||||||||||
2) 安全漏洞的利用会对系统造成严重影响且容易利用(例如:获得程序源代码、可远程读写系统文件或操纵后台数据、可远程以普通用户身份执行命令或进行拒绝服务攻击、可远程以管理用户身份执行命令等) | |||||||||||
3)与以上相当危害程度的其他安全漏洞 |
文末小结
产品安全质量是决定了产品能否满足上线要求,以及产品能够按时上线,所以关于产品安全质量的衡量标准以及SDL产品上线规定越早进行贯宣越好,同时也需要让产品经理、项目经理、研发人员在软件开发周期内多多关注安全问题,避免后期因为安全问题无法上线或者导致产品功能重构等