OWASP Secure Software Development Lifecycle Project(S-SDLC)是OWASP組織首個由OWASP中國團隊獨立發(fā)布并主導的研究項目,并在全球范圍內正式發(fā)布。S-SDLC被越來越多的企業(yè)所重視,紛紛開始實施。S-SDLC是安全軟件開發(fā)生命周期,是一套完整的,面向Web和APP開發(fā)廠商的安全工程方法。幫助軟件企業(yè)降低安全風險,提升軟件安全質量。S-SDLC的理念來源于微軟SDL,最終目標是幫助用戶減少安全問題,并使用該方法從每個階段提高總體安全級別。
一、S-SDLC定義了安全軟件開發(fā)的流程,以及各個階段需要進行的安全活動,包括活動指南,工具、模板等,主要包括:
1、培訓:提供安全培訓體系,包含安全意識培訓,安全基礎知識培訓,安全開發(fā)生命周期流程培訓和安全專業(yè)知識培訓;
2、需求階段:如何對軟件產品的風險進行評估,建立基本的安全需求
3、設計階段:提供安全方案設計及威脅建模
4、實現階段:提供主流編程語言的安全編碼規(guī)范,安全函數庫以及代碼審計方法
5、測試階段:基于威脅建模的測試設計,Fuzzing測試,滲透測試
6、發(fā)布/維護階段:建立漏洞管理體系
二、s-sdlc安全軟件開發(fā)生命周期
威脅分析步驟:
1、數據流圖
2、威脅模型:stride仿冒、篡改、抵賴、信息泄露、拒絕服務、權限提升、
3、方法和技術手段:身份驗證、數字簽名、訪問控制、日志審計、加密、過濾配額
結論
1、設計:客戶端和代理服務間訊息加密、代理服務對第三方服務的認證
2、開發(fā):生成用戶標識的隨機性、防止SQL注入
3、部署:服務器、數據庫安全加固
4、測試:設計需求和開發(fā)的漏洞