OWASP Secure Software Development Lifecycle Project(S-SDLC)是OWASP組織首個由OWASP中國團隊獨立發(fā)布并主導的研究項目，并在全球范圍內正式發(fā)布。S-SDLC被越來越多的企業(yè)所重視，紛紛開始實施。S-SDLC是安全軟件開發(fā)生命周期，是一套完整的，面向Web和APP開發(fā)廠商的安全工程方法。幫助軟件企業(yè)降低安全風險，提升軟件安全質量。S-SDLC的理念來源于微軟SDL，最終目標是幫助用戶減少安全問題，并使用該方法從每個階段提高總體安全級別。

一、S-SDLC定義了安全軟件開發(fā)的流程，以及各個階段需要進行的安全活動，包括活動指南，工具、模板等，主要包括：

1、培訓：提供安全培訓體系，包含安全意識培訓，安全基礎知識培訓，安全開發(fā)生命周期流程培訓和安全專業(yè)知識培訓；

2、需求階段：如何對軟件產品的風險進行評估，建立基本的安全需求

3、設計階段：提供安全方案設計及威脅建模

4、實現階段：提供主流編程語言的安全編碼規(guī)范，安全函數庫以及代碼審計方法

5、測試階段：基于威脅建模的測試設計，Fuzzing測試，滲透測試

6、發(fā)布/維護階段：建立漏洞管理體系

二、s-sdlc安全軟件開發(fā)生命周期

威脅分析步驟：

1、數據流圖

2、威脅模型：stride仿冒、篡改、抵賴、信息泄露、拒絕服務、權限提升、

3、方法和技術手段：身份驗證、數字簽名、訪問控制、日志審計、加密、過濾配額

結論

1、設計：客戶端和代理服務間訊息加密、代理服務對第三方服務的認證

2、開發(fā)：生成用戶標識的隨機性、防止SQL注入

3、部署：服務器、數據庫安全加固

4、測試：設計需求和開發(fā)的漏洞