SDL 99/100问:如何进行软件安全需求分析?
软件的安全需求是其自身安全性的源头,但往往由于客户没有足够的输入、对相关法律法规或行规不重视,所以可能做得并不好,对于不出海的产品、问题尤为突出。
在SDL运营过程中,最普遍的矛盾就是:业务设计如此、不修复,但在安全看来很危险。若是产生这种矛盾,一般都是由于设计或需求没有考虑安全性导致的,改起来很麻烦,所以最开始提出安全需求并跟进落地是十分必要的。
安全需求除了来自客户明确要求、法律法规、行业行规外,还可以结合公司的技术栈、常见安全问题来做要求,比如要求使用公司私有源中的开源组件、使用公司的开发框架进行开发、使用安全函数组件进行功能实现等。
------------更多内容,请访问-------------
1、SDL 100问
SDL100问:我与SDL的故事
SAST误报太高,如何解决?
SDL需要哪些人参与?
大家都有哪些SDL运营指标?
开发安全左移和右移,哪一个更好?
SDL 97/100问:关于白盒测试,应该知道哪些正确观念?
SDL 98/100问:针对业务部门外采购的产品,要求做安全测试吗?
2、SDL创新实践
首发!“ 研发安全运营 ” 架构研究与实践
DevSecOps实施关键:研发安全团队
DevSecOps实施关键:研发安全流程
DevSecOps实施关键:研发安全规范
DevSecOps实施关键:研发安全工具
数字化转型下研发安全痛点
一个思考:安全测试驱动产品安全?
3、SDL最初实践
【SDL最初实践】开篇
【SDL最初实践】安全培训
【SDL最初实践】安全需求
【SDL最初实践】安全设计
【SDL最初实践】安全开发
【SDL最初实践】安全测试
【SDL最初实践】安全审核
【SDL最初实践】安全响应
4、安全运营实践
基于实践的安全事件简述
安全事件运营SOP:钓鱼邮件
安全事件运营SOP:网络攻击
安全事件运营SOP:蜜罐告警
安全事件运营SOP:webshell事件
安全事件运营SOP:接收漏洞事件