OWASP Secure Software Development Lifecycle Project(S-SDLC)是OWASP組織首個(gè)由OWASP中國團(tuán)隊(duì)獨(dú)立發(fā)布并主導(dǎo)的研究項(xiàng)目,并在全球范圍內(nèi)正式發(fā)布。S-SDLC被越來越多的企業(yè)所重視,紛紛開始實(shí)施。S-SDLC是安全軟件開發(fā)生命周期,是一套完整的,面向Web和APP開發(fā)廠商的安全工程方法。幫助軟件企業(yè)降低安全風(fēng)險(xiǎn),提升軟件安全質(zhì)量。S-SDLC的理念來源于微軟SDL,最終目標(biāo)是幫助用戶減少安全問題,并使用該方法從每個(gè)階段提高總體安全級別。
一、S-SDLC定義了安全軟件開發(fā)的流程,以及各個(gè)階段需要進(jìn)行的安全活動(dòng),包括活動(dòng)指南,工具、模板等,主要包括:
1、培訓(xùn):提供安全培訓(xùn)體系,包含安全意識培訓(xùn),安全基礎(chǔ)知識培訓(xùn),安全開發(fā)生命周期流程培訓(xùn)和安全專業(yè)知識培訓(xùn);
2、需求階段:如何對軟件產(chǎn)品的風(fēng)險(xiǎn)進(jìn)行評估,建立基本的安全需求
3、設(shè)計(jì)階段:提供安全方案設(shè)計(jì)及威脅建模
4、實(shí)現(xiàn)階段:提供主流編程語言的安全編碼規(guī)范,安全函數(shù)庫以及代碼審計(jì)方法
5、測試階段:基于威脅建模的測試設(shè)計(jì),F(xiàn)uzzing測試,滲透測試
6、發(fā)布/維護(hù)階段:建立漏洞管理體系
二、s-sdlc安全軟件開發(fā)生命周期
威脅分析步驟:
1、數(shù)據(jù)流圖
2、威脅模型:stride仿冒、篡改、抵賴、信息泄露、拒絕服務(wù)、權(quán)限提升、
3、方法和技術(shù)手段:身份驗(yàn)證、數(shù)字簽名、訪問控制、日志審計(jì)、加密、過濾配額
結(jié)論
1、設(shè)計(jì):客戶端和代理服務(wù)間訊息加密、代理服務(wù)對第三方服務(wù)的認(rèn)證
2、開發(fā):生成用戶標(biāo)識的隨機(jī)性、防止SQL注入
3、部署:服務(wù)器、數(shù)據(jù)庫安全加固
4、測試:設(shè)計(jì)需求和開發(fā)的漏洞