安全開發生命週期
簡單瞭解,不做重點,很多資料沒有啃,要學完需要兩個月… 今天還學了waf繞過,寫了一半存草稿了,最近要早睡點,要犯頸椎病,還是得堅持跑步
什麼是應用開發生命週期安全管理?
結合應用開發的需求、設計、開發、測試、上線、運維和廢棄等生命週期的各階段,定義安全目標和控制措施,結合評審、測試、培訓等手段,保證開發系統的安全性
爲什麼要實施應用開發生命週期安全管理?
攻擊內容發生了變化
病毒蠕蟲
攻擊OS DB
攻擊應用系統
APT攻擊與社工
攻擊對象發生了變化
缺乏安全開發技能
運維階段無法解決開發問題
應用代碼程序問題(SQL注入、XSS)
應用系統安全設計失效(驗證碼繞過)
應用系統安全需求考慮不充分(密碼防護)
基礎環境漏洞(Apache Struts2、SSL)
應用服務配置不當(IIS、Nginx、JBoss)
因此採用通過安全開發生命週期改進
大致步驟以及內容
需求
識別關鍵安全目標
安全目標路線圖
設計
定義安全架構
確定受攻擊面
操作系統
數據庫
應用系統
第三方應用
識別威脅
定義安全交付標準
實施
應用編碼規範
使用安全測試工具
使用代碼分析工具
代碼安全人工審覈
交給安全員做
測試
代碼安全審覈
集中式安全測試
Fuzzing測試 基線檢測 滲透測試
發佈
集成環境
最終安全評審
維護
定期安全評估
應急響應
發佈漏洞解決方案