如何制定符合安全开发实践原则的详细流程?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1501个文字,预计阅读时间需要7分钟。
相关专题
在各种安全建设方案中,“安全能力前置”是明显的趋势。就像一幢建造时地基不稳、墙体不牢、地板塌陷的房子无法在建成后依靠几根柱子的支撑屹立不倒,缺少安全开发过程的应用,在后期运营时必然会漏洞百出。
我们认为安全开发实践有以下5条重要的原则:
1、安全培训
安全技能培训对弥补技术能力差距以及管理产品生命周期每一个环节的安全性至关重要。公司需要显性地投资在安全意识和安全技能的培训上,以提高开发人员安全编码的意识和能力,并理解安全部门提出的建议和做出的行为,这对于业务团队与安全团队的高效协作非常重要。
根据SANS研究所的安全状况报告,早在2016年在美国超过一半的调查公司样本已经将安全培训作为了公司主要任务之一。而直到今天,能够懂得安全培训重要性的中国公司也是少数派,能将培训意愿转化为培训行为的企业更是凤毛麟角。
2、安全应用开发
当下,应用程序的安全性已经引起了企业的普遍重视。为了确保开发的安全性,有两个重要的实践方法:
(1)使用以安全性为中心的流程框架。
(2)将安全团队的反馈纳入开发人员的工作流和每个迭代周期的演示评审中。
对于流程框架,我们认为最好根据最佳实践、软件库、标准以及企业的特定行业规定,选择采用经过验证且适当的以安全为重点的框架。以下两个著名的框架都是规则、技术和过程的集合,它们指导开发组织,并提供可应用的资源。虽然有不同的关注点,但从根本上讲都是以安全为导向的。
微软安全开发生命周期(SDL):此过程非常适合现有的DevOps环境,并提供了一个更通用的结构,在整个过程中很好地整合了安全性。根据我们的经验,它并不限于任何特定的代码类型或操作环境。
本文共计1501个文字,预计阅读时间需要7分钟。
相关专题
在各种安全建设方案中,“安全能力前置”是明显的趋势。就像一幢建造时地基不稳、墙体不牢、地板塌陷的房子无法在建成后依靠几根柱子的支撑屹立不倒,缺少安全开发过程的应用,在后期运营时必然会漏洞百出。
我们认为安全开发实践有以下5条重要的原则:
1、安全培训
安全技能培训对弥补技术能力差距以及管理产品生命周期每一个环节的安全性至关重要。公司需要显性地投资在安全意识和安全技能的培训上,以提高开发人员安全编码的意识和能力,并理解安全部门提出的建议和做出的行为,这对于业务团队与安全团队的高效协作非常重要。
根据SANS研究所的安全状况报告,早在2016年在美国超过一半的调查公司样本已经将安全培训作为了公司主要任务之一。而直到今天,能够懂得安全培训重要性的中国公司也是少数派,能将培训意愿转化为培训行为的企业更是凤毛麟角。
2、安全应用开发
当下,应用程序的安全性已经引起了企业的普遍重视。为了确保开发的安全性,有两个重要的实践方法:
(1)使用以安全性为中心的流程框架。
(2)将安全团队的反馈纳入开发人员的工作流和每个迭代周期的演示评审中。
对于流程框架,我们认为最好根据最佳实践、软件库、标准以及企业的特定行业规定,选择采用经过验证且适当的以安全为重点的框架。以下两个著名的框架都是规则、技术和过程的集合,它们指导开发组织,并提供可应用的资源。虽然有不同的关注点,但从根本上讲都是以安全为导向的。
微软安全开发生命周期(SDL):此过程非常适合现有的DevOps环境,并提供了一个更通用的结构,在整个过程中很好地整合了安全性。根据我们的经验,它并不限于任何特定的代码类型或操作环境。