轻量级应用安全开发生命周期项目(S-SDLC)
Introduction
S-SDLC是安全软件开发生命周期,是一套完整的,面向Web和APP开发厂商的安全工程方法。帮助软件企业降低安全问些,提升软件安全质量;
Description
S-SDLC定义了安全软件开发的流程,以及各个阶段需要进行的安全活动,包括活动指南,工具、模板等,主要包括:
培训:提供安全培训体系,包含安全意识培训,安全基础知识培训,安全开发生命周期流程培训和安全专业知识培训;
需求阶段:如何对软件产品的风险进行评估,建立基本的安全需求
设计阶段:提供安全方案设计及威胁建模
实现阶段:提供主流编程语言的安全编码规范,安全函数库以及代码审计方法
测试阶段:基于威胁建模的测试设计,Fuzzing测试,渗透测试
发布/维护阶段:建立漏洞管理体系
项目目标:
(1) 制定面向Web和APP开发企业的安全开发流程
制定动态的安全开发流程,对安全活动及活动要求进行分级,不同类型的软件,可以根据产品的风险及可用的投入资源来确定开发过程中要执行的安全活动,明确活动的输入,输出,执行者及依赖关系;
(2) 制定及开发安全基础培训课程
制定安全培训体系,确定不同的角色需要接受的培训内容及培训的周期;开发基础性的培训课程;
(3) 根据实践经验,输出各个安全活动的方法指导及模板,主要的安全活动有:安全风险评估、设计Review、威胁建模、基于威胁建模的测试
(4) 制定WEB应用/移动应用安全设计指南
(5) 制定安全编码(C/C++、JAVA、PHP,C#)
(6) 将OWASP现有项目,如开发指南、测试指南融合到软件全开发体系中;
项目进度及详细信息,请登录以下网址:
