安全开发流程(Security Development Flow),即安全的软件开发流程(Software Development Flow with Security),是以交付安全的软件产品为目标的软件设计过程,包括安全的概要设计或方案设计、安全编码、安全测试、安全部署(发布)。以Janusec SDL SaaS为例,其最简单的安全开发流程,包括三个阶段(开发测试阶段、产品发布阶段、运维阶段),标准的应用开发流程则包含立项规划、需求分析、概要设计、开发测试、产品发布、验收、运维等阶段。每个阶段都有相应的质量控制任务,特别是安全任务。
工具/原料
浏览器(电脑或手机均可)
安全开发流程
1
立项规划阶段项目启动前的准备(目标、范围、进度、预算、交付、可行性、风险等),由Sponsor审核,驳回或批准立项(授权项目经理使用组织资源来达成项目目标)。
2
需求分析阶段深入了解和分析需求,输出需求分析文档,和用户代表确认需求。项目管理平台上的关键任务:(1) 需求分析报告与用户代表确认。
3
概要设计阶段系统架构或方案设计(模块构成、模块之间的关系、处理流程等)项目管理平台上的关键任务:(1) 方案设计评审, 检查系统方案设计是否与业界最佳实践一致;(2) 安全设计自检, 检查系统方案设计是否与安全设计规范或业界最佳安全实践一致。
4
开发测试阶段详细设计,编码(实现功能、性能、接口等各方面的要求)及测试(确认功能、性能、安全等要素满足要求)。项目管理平台上的关键任务:(1) 安全开发自检, 检查编码是否为安全的最佳实践,必要时使用代码审计工具;(2) 安全测试自检,基于安全测试用例的测试,以及渗透测试等。
6
验收阶段检查确认是否达到交付运维的条件,转运维。项目管理平台上的关键任务:(1) 验收, 检查CMDB维护、备份、恢复演练、服务状态监控等任务是否完成。
7
运维阶段项目结束,运维过程中,实施IT服务管理(配置管理、变更管理、事件管理、问题管理等)。
上一篇:最新SCI论文下载技巧