软件安全开发V 软件安全开发是指在软件开发过程中,为了确保软件的安全性和可靠性,而采取的一系列措施和方法。软件安全开发的目的是为了防止软件中的漏洞和缺陷,并确保软件在开发、测试、部署和维护等各个阶段的安全性。 软件安全开发版本4.1讲师姓名机构名称课程内容软件安全开发生命周期软件安全需求及设计软件安全开发软件安全实现软件安全测试软件安全交付知识域知识子域2知识子域:软件安全开生成命周期模型了解软件生命周期的概念及瀑布模型、迭代模型、增量模型、快速原型模型、螺旋模型、净室模型等典型软件开发生命周期模型。 软件危机与安全问题了解三级软件危机产生的原因、特点和解决方案;了解软件安全和软件安全保障的基本概念。软件安全生命周期模型了解SDL、CLASP、CMMI、SAMM、BSIMM等典型的软件安全开生成命周期模型。 软件生命周期模型软件的定义是指与计算机系统操作有关的计算机程序、规程、规则,以及可能有的文件、文档及数据。软件生命周期模型包括瀑布模型、迭代模型、增量模型、快速原型模型、螺旋模型、净室模型等。 瀑布模型是最早出现的软件开发模型,核心思想是按工序将问题简化,将功能的实现与设计分开。但是,瀑布模型也存在缺陷,如没有对开发周期后期发现错误做出相应的规定。 迭代模型是瀑布模型的小型化应用,完整的工作流程,降低风险,快速开发进度,任务清晰,需求更容易随需而变。 增量模型融合了瀑布模型和迭代模型的特征,本质上是迭代,每个增量发布一个可操作产品。 螺旋模型兼顾快速原型的迭代的特征以及瀑布模型的系统化与严格监控,引入了其他模型不具备的风险分析,使软件在无法排除重大风险时有机会停止,以减小损失。 快速原型模型又称原型模型,是增量模型的另一种形式;它是在开发真实系统之前,构造一个原型,在该原型的基础上,逐渐完成整个系统的开发工作。 净室模型是一种应用数学与统计学理论以经济的方式生产高质量软件的工程技术。力图通过严格的工程化的软件过程达到开发中的零缺陷或接近零缺陷。 软件安全重要性–软件危机第一次“软件危机”是在20世纪60年代,根源是日益庞大和复杂的程序对开发管理的要求越来越高,解决方法是软件工程。第二次“软件危机”是在20世纪80年代,根源是软件规模继续扩大,程序数百万行,数百人同时开发,可维护性难,解决方法是面向对象语言-C++/java/c#。第三次“软件危机”是在21世纪头十年,根源是软件安全,解决方法是软件安全开生成命周期管理。 软件缺陷普遍存在千行代码缺陷数量普通软件公司:4~40,高管理软件公司:2~4,美国NASA软件:0.1漏洞数量国家漏洞库统计数据,最近5年最高一年入库漏洞7000+国家漏洞库漏洞数量统计。 软件安全问题产生-内因软件规模增大,功能越来越多,越来越复杂;软件模块复用,导致安全漏洞延续;软件扩展模块带来的安全问题Windows操作系统不同版本源代码数量。 软件安全问题产生-外因互联网发展对软件安全的挑战;开发环境和开发人员对软件安全的挑战开发者缺乏安全开发的动机、市场和业务要求将交付期和软件功能做主要因素、用户方没有提供安全方面的压力;开发者缺乏相关知识软件复杂性加大,开发者需要学习更多东西、传统软件开发不进行安全教育;缺乏安全开发工具缺乏安全开发配套管理、测试等工具。 软件安全保障贯彻风险管理的思想安全不必是完美无缺的,但风险必须是可管理的;树立对软件安全控制的信心,该信心是通过保障活动来获取的。通过在软件开发生命周期各阶段采取必要的、相适应的安全措施来避免绝大多数的安全漏洞采取措施只能有效减少,但并不能完全杜绝所有的安全漏洞! 软件安全开生成命周期软件安全开发覆盖软件整个生命周期需求分析阶段考虑软件的安全需求;在设计阶段设计符合安全准则的功能;编码阶段保证开发的代码符合安全编码规范;安全测试和运行维护确保安全需求、安全设计、安全编码各个环节得以正确有效的实施在软件的各个阶段引入安全措施! 软件安全问题越早解决成本越低在软件开发生命周期中,后面的阶段改正错误开销比前面的阶段要高出数倍NIST:在软件发布以后进行修复的代价是在软件设计和编码阶段即进行修复所花代价的30倍。 相关模型和研究安全软件开发生命周期安全设计原则安全开发方法最佳实践安全专家经验多种模型被提出和研究可信计算安全开生成命周期(微软)CLASP(OWASP)综合的轻量应用安全过程BSI系列模型(Gary McGraw等)SAMM(OWASP)软件保证成熟度模型SDL什么是SDL安全开生成命周期(Security DevelopmentLifecycle,SDL)SDL发展SDL的阶段和安全活动七个阶段十七项必需的安全活动培训要求设计实施验证发布响应确定安全要确定设计要使用批准的动态分析事件响应计,等。
剩余79页未读,继续阅读
- 粉丝: 761
- 资源: 8万+
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助