| 设为主页 | 保存桌面 | 手机版 | 二维码

郑州中泰机械设备有限公司

包装机 灌装机 打码机

产品分类
  • 暂无分类
站内搜索
 
友情链接
  • 暂无链接
财神爷4826cn高手
三中三资料 都来自于Fortify
发布时间:2019-06-03        浏览次数:        
  c?软件开发生命周期中的安全性_知识库_博客园
我们必须把应用程序的安全性整合到软件开发的过程中。之后在测试中才关注安全性是不够的,因为对于修改错误来说,那太迟了,而且非常昂贵。微软的Steve Lipner在上周举行的RSA大会2011上发表了关于应用程序安全性的演讲,其中谈到在软件开发生命周期中的安全性,王中王正版欲钱来料。他向大家介绍了微软创建的安全性开发生命周期过程,其中包括以下阶段:安全性培训需求分析设计实现验证发布反馈  另外,SDL框架还有一个敏捷的版本,报码室开奖结果,它支持把安全性因素整合到灵敏开发过程中。敏捷过程中的安全性需求可以归为三类:每次Sprint(Every-Sprint):这些是高优先级和重要的安全性需求,我们可以使用像威逼建模之类的技术来识别它们。一次(One-time):这类需求包括架构和策略上的需求,像决定编译器的版本或者设置缺陷跟踪数据库等等。大量(Bucket):这类需求包括长期运行或者可以暂缓的需求。比方说文件或者ActiveX fuzzing。  其他演讲者也在会上谈到了提高应用程序安全性的技术。Alberto Revelli(Cigital)讨论了安全设计原则,像黑名单和白名单、内存级别和主机级别上的保护、安全的互操作性、最小权限原则以及区域分割(compartmentalization)等等。   Brian Chess和Jacob West(都来自于Fortify)谈到了关于安全编码技术。现在已经有多种安全缺陷的分类列表,像OWASP Top 10、七种致命错误(Seven Pernicious Kingdoms)、常见弱点列表(CWE)、Sans Top 25以及常见易受攻击点评分系统(CVSS)等等,各个组织可以使用它们来治理应用程序中的安全弱点。Jacob对其中的一些弱点给出了示例,像跨站点脚本攻击(XSS)、跨站点伪造请求(CSRF)、HTTP响应分割、会话固定攻击以及SQL注入攻击等等。Brian举荐了一些安全编码原则,像默认做出良好的验证、在应用程序的不同层之间发布信任边界、间接挑选以及白名单等等。   Chris Eng(Veracode)说明了各种不同的安全测试方法,像静态、动态、手动的测试以及其中的细节,另外还谈到了各种方式的强度和局限性。Reeny Sondhi(EMC公司)也对她的公司中所使用的缺陷响应程序做了概述。   查看英文原文:Security in the Software Development Lifecycle