为什么要用SDL
- 提升Web应用的安全性,减少Web应用的安全漏洞
- 降低安全漏洞修复成本
SDL是什么
- 安全开发生产周期 Security Development Lifecycle
- 符合Secure at the Source原则
- 来源于微软
SDL流程
培训
- 核心安全培训
需求
- 安全需求分析
- 质量要求/BUG数量要求
- 安全和隐私风险评估
设计
- 设计需求分析
- 减小攻击面
- 威胁建模
实施 (开发)
- 使用指定工具
- 弃用不安全函数
- 静态分析
验证 (QA)
- 动态分析
- 模糊测试
- 威胁模型和攻击面评析
发布
- 事件响应计划
- 最终安全评析
- 发布存档