1、SDL是什么长搀?
SDL(Security Development Lifecycle)安全開發(fā)生命周期。是微軟提出的從安全角度指導(dǎo)軟件開發(fā)的管理模式鸡典,在軟件開發(fā)的生命周期中盡可能地發(fā)現(xiàn)安全隱患源请,降低安全風(fēng)險谁尸。
SDL的核心理念就是把安全考慮集成到軟件開發(fā)的每一個階段:需求分析纽甘、設(shè)計悍赢、編碼、測試皮胡、維護(hù)赏迟。
2锌杀、沒有SDL參與的研發(fā)流程以及弊端
需求分析、系統(tǒng)設(shè)計量没、產(chǎn)品研發(fā)允蜈、系統(tǒng)測試、系統(tǒng)部署
每個環(huán)節(jié)都存在安全風(fēng)險
需求分析:缺少必要的安全需求介入漩蟆,導(dǎo)致后續(xù)缺少必要的安全模塊設(shè)計
設(shè)計階段:設(shè)計階段缺乏安全妓蛮,導(dǎo)致系統(tǒng)架構(gòu)缺陷后期難以修復(fù)
產(chǎn)品研發(fā):研發(fā)缺少安全意識,代碼存在安全隱患
系統(tǒng)測試:缺少安全測試捺癞,安全問題不能提前暴露
部署上線:攻擊面暴露构挤,攻擊者入侵,資產(chǎn)受損
3筋现、SDL介入的研發(fā)流程
安全培訓(xùn)矾飞、安全需求分析一膨、安全設(shè)計豹绪、安全測試瞒津、滲透測試仲智、應(yīng)急響應(yīng)
安全培訓(xùn):安全意識姻氨、研發(fā)安全技術(shù)肴焊、安全編碼規(guī)范(唯品會安全培訓(xùn)參考娶眷、【SDL最初實踐】安全培訓(xùn))
安全設(shè)計:威脅建模
安全測試:自研線上掃描平臺届宠、瀏覽器插件乘粒、白盒黑盒伤塌、github開源掃描器
滲透測試:自動化掃描工具灯萍、內(nèi)部測試、外部眾測每聪、白帽子
學(xué)習(xí)資料:
https://xz.aliyun.com/t/226 初探SDL
https://xz.aliyun.com/t/2089 金融行業(yè)SDL安全設(shè)計checklist
https://github.com/Cryin/Paper
https://www.microsoft.com/en-us/securityengineering/sdl/threatmodeling
