安全开发流程(SDL)
安全开发流程,能够帮助企业以最小的成本提高产品的安全性。
SDL,英文全称为Security Development Lifecycle, 即安全开发生命周期。最早由微软提出,在软件工程中实施,是帮助解决软件安全问题的办法。
SDL是一个安全保证的过程,其重点是软件开发,它在开发的所有阶段都引入了安全和隐私的原则
大致步骤见下图:
安全需求分析
一般来说,不同企业执行效果是不一样的,取决于企业的支持力度,以及企业SDL体系的完整性、流程适用性、制度规范、宣传培训、人员能力(需求人员、研发人员、安全测试人员)、以及各种工具及平台。
其中:
1、最复杂的方式是威胁建模
;
2、略降低复杂度的是基于业务场景的威胁分析
,需要输出安全需求,最好能做成易执行的线上服务,尽可能降低对人员安全能力要求;
3、最简单的,提供线下问卷或checklist,提取安全需求。
综上所述,SDL要量体裁衣,根据实际情况找到切入点,有策略有打法的开展。并非一来就要完成最复杂的安全需求分析环节。