安全设计方案与安全开发组件
软件开发组织可以通过安全设计方案和安全开发组件减少研发团队对安全专业知识的依赖,快速实现对研发团队的安全赋能。“安全设计方案与安全开发组件”描述了软件开发组织构建安全开发、安全设计、威胁分析知识库和安全开发组件的能力,“安全设计方案与安全开发组件”的使用可以提升安全开发效率,降低安全开发成本。
安全设计方案与安全开发组件
- 建立相对完善的安全设计库
软件开发组织应该针对软件系统常见且重要的安全需求建立安全设计库,降低开发人员安全设计的难度,例如:给认证、防注入、文件操作和安全传输等重要的安全需求提供安全设计建议;设计不可猜测的用户ID;调用后台接口需要用户凭据(Token);避免拼接SQL语句;校验文件类型/大小/文件名等。
- 建立相对完善的威胁库
威胁分析可以从攻击者的视角发现软件系统的潜在风险。基于软件系统的类别和系统架构建立威胁库将有助于威胁分析活动。威胁库通常需要配合威胁分析工具去使用,如何最大限度的实现自动化生成威胁是威胁分析工具及威胁库需要考量的问题。
- 安全开发组件
软件开发组织应该建立专门的团队,构建并发布安全开发组件供产品研发团队使用,提升安全开发效率。安全开发组件示例有:身份验证、角色管理、密钥管理、日志记录、密码、协议、防SQL注入解决方案、防CSRF解决方案、会话保持机制等。
S-SDLC CMM 模型现已发布,点击立即下载获取最新模型!
