浙江平安建设网站,做美团网站需要多少钱,wordpress火车头采集软件发布接口,四川建设网网站0x00 前言
众所周知#xff0c;从源头开始就开发安全的代码#xff0c;比产品已经成型之后付出的代价要小很多#xff0c;也就是一直在说的安全左移的概念。最好就是从一开始#xff0c;大家就用最安全的代码#xff0c;或者是框架#xff0c;那么开发出来的产品必然会减…0x00 前言
众所周知从源头开始就开发安全的代码比产品已经成型之后付出的代价要小很多也就是一直在说的安全左移的概念。最好就是从一开始大家就用最安全的代码或者是框架那么开发出来的产品必然会减少很多没必要的风险。
当然除了可以使用安全的框架还有安全的意识以及安全的设计编码漏洞是一种设计漏洞也是一种可能在实现某个功能的时候没有想太多毕竟业务优先但是设计完成开发完整之后才发现有很严重的安全风险所以SDL就出现了目的就是为了能更早更提前的发现风险在设计之初从思维开始灌输安全并且辅助检测等手段从而大幅度降低安全成本提高效能。
0x01 整体流程概述
整个流程就是7个大项17个基本点 简单的说一下每一个基本点的所有内容然后再细分文章进行分析和理解。
1.SDL适用场景
SDL最为适配的是瀑布开发模式一条流水线进行执行但是整个整体就非常重并且难以实施。
0x02 培训
培训其实主要涉及的内容包括安全意识培训以及安全编码规范安全运维常识问题主要的作用就是为了能够将安全意识进行宣贯从而完成安全左移的目的主要的核心就是安全深入人心。
当然培训还包括安全制度的宣贯也就是基本的安全红线问题什么该做什么不该做做了什么是安全的都是我们应该考虑的问题。
0x03 要求
要求部分主要就是将一些规范制度列成文字或者文档的说明并且将一些模糊的化的东西具现化并且进行意识同步。
同步安全漏洞等级认知定制开发checklist安全编码规范供应链安全安全要求基线安全评估
0x04 设计
其实设计主要的目的就是为了明确需求然后针对不同的场景来分析可能存在的风险和威胁通过威胁建模尽可能的收敛场景可能存在的攻击面并且多层防护达到纵深防御的目的
通过威胁建模设计软件安全方案确保环境安全安全编码规范以及测试规范模糊测试SAST动态扫描工具代码审计
0x05 实施
实施主要控制的就是开发过程中的安全
环境安全框架、容器插件检测RASTIAST
0x06 验证
