爲什麼要用SDL
- 提升Web應用的安全性,減少Web應用的安全漏洞
- 降低安全漏洞修復成本
SDL是什麼
- 安全開發生產週期 Security Development Lifecycle
- 符合Secure at the Source原則
- 來源於微軟
SDL流程
培訓
- 核心安全培訓
需求
- 安全需求分析
- 質量要求/BUG數量要求
- 安全和隱私風險評估
設計
- 設計需求分析
- 減小攻擊面
- 威脅建模
實施 (開發)
- 使用指定工具
- 棄用不安全函數
- 靜態分析
驗證 (QA)
- 動態分析
- 模糊測試
- 威脅模型和攻擊面評析
發佈
- 事件響應計劃
- 最終安全評析
- 發佈存檔