关键词:扫描|人工|开发|安全检测|代码|安全培训

SDL软件安全开发步骤小结

  • 时间:
  • 浏览:60

SDL软件安全开发步骤小结

文章内容文件目录

序言 一、安全培训 二、安全性要求设计方案 三、安全性开发 四、安全检测 代码财务审计 WEB运用扫描 人工渗入扫描 五、安全防范 六、SDL步骤监管 结语 有关材料

序言

如今有许多企业SDL的步骤不久发展,我想要共享一下自身在SDL中的一些工作经验。因为工作经验尚浅,不可估量全部 SDL的基本建设状况,下列仅仅自身工作中的了解和拍脑壳的念头,请各位大佬指点迷津。

SDL全名Security Development Lifecycle,别称作安全性开发生命期,包含安全培训、安全性要求设计方案、安全性开发、安全检测和安全防范五个环节。文中会以安全检测为重中之重进行。

一、安全培训

安全培训的重中之重是提升全体人员新项目工作人员的防范意识,包含产品运营的防范意识和产品研发测试工程师的代码防范意识。

新项目的中后期可进行目的性的学习培训,比如代码中常有的难题、检测全过程中数次出現的系统漏洞等都能够做为学习培训的重中之重。

二、安全性要求设计方案

对于系统软件业务流程规定执行风险评价工作中,依据需求分析文档与工程项目经理明确安全性要求,制订安全性要求表,供事后开发检验时应用。

三、安全性开发

安全性开发环节由工程项目经理把控。做为安全性工作人员,在新项目刚开始前对全部产品研发工作人员搞好安全培训,中后期做目的性的难题系统漏洞学习培训,可以缓解在安全检测时的劳动量。

四、安全检测

在过去就职的企业,安全管理体系相对性健全,全部的最新项目发布前都必须历经三步查验——代码财务审计、Web运用扫描、人工渗入扫描。

代码财务审计

应用 Jekens 拉 Gitlab 代码放进Fortify 中扫描。开发全过程中,开发工作人员每一次升级代码必须开展扫描,并有管理权限查询Fortify有关新项目系统漏洞状况,开展整顿(不容许有中高风险左右系统漏洞)。开发有权利对系统漏洞开展忽视解决,但必须担负相对不良影响。若不清楚怎样解决,可请安全性组出示解决方法。(代码扫描能够 应用别的安全工器具)

WEB运用扫描

WEB运用扫描不用安全性基本就可以实际操作。由于安全性工作人员比测试工程师少,一般交由测试工程师帮助解决。扫描器可选项许多,包含开源系统或是商业,挑选合适自身的就行。

人工渗入扫描

这都是最终一步。对于不一样的运用公布状况,倘若运用为新运用则必须对整体新项目开展渗透测试;若此增减新项目(版本号迭代更新升级)则只必须对提升项有关插口做检测。渗入工作人员由安全性组工作人员承担。

左右汇报中出現中高风险左右难题务必整顿,整顿进行前不容许发布。 

五、安全防范

一般来说,企业都具备安全防护设备,安全性的维护保养还可以依靠SRC(Security Response Center安全性应急处置管理中心)或是第三方系统漏洞服务平台。

六、SDL步骤监管

最终共享一下有关SDL步骤监管的工作经验。

SDL步骤由工程项目经理承担,一样SDL的监管目标为工程项目经理,工程项目经理为整顿步骤的核心。步骤监管是围绕全部开发周期时间的,包含早期的安全培训、要求设计方案,中后期的代码开发、安全检测,中后期的安全防范。

再详细介绍一下在SDL步骤中的《安全性选择项表》。《安全性选择项表》中的內容为等级保护和域名备案中务必存有的一些安全性作用项,归属于法律法规合规管理的內容。并不是商品务必合乎在其中的內容,只是尽可能合乎。若无需有关作用,能够 在表中解释一下,今后在做等级保护等查验时也可立即出示与检查员。

若新项目为全新升级新项目,则依照《安全性选择项表》(图1)中步骤开展。产品运营必须参照表格中的內容,对新项目开展整理,挑选保存项。若选择项不保存,则必须在备注名称中表明原因。

图1 

图1 

开发和检测依据商品填好好的《安全性选择项表》內容开展检测。一部分安全性技术专业的检测工作中由安全性工作人员开展检测。进行最终的安全测试并容许发布后,三份检测报告和此安全性选择项报表要开展存档。在其中较为关键的阶段是对四条线的人(工程项目经理、商品、开发、检测)学习培训安全性选择项表內容。

若新项目为中后期迭代更新,则要求审查的那时候必须安全性工作人员参加,承担安全系数评定和中后期渗入查验。代码和WEB运用扫描能够 照常进行。

结语

左右SDL总体的步骤彻底根据本人平常的工作中了解而成,供大家参考。有不正确的地区热烈欢迎巨头们纠正,有更强的健全方式也热烈欢迎大伙儿填补讨论。

有关材料

https://blog.csdn.net/shark1357/article/details/89368328

https://jenkins.io/doc/pipeline/steps/fortify/

https://wiki.jenkins.io/display/JENKINS/Fortify+Plugin

*文中原原创者:成都安全性MTSec,文中归属于FreeBuf原创设计奖赏方案,未经审批同意严禁转截

猜你喜欢