不同企业，SDL差异几何——不同企业的SDL建设Roadmap分析4.10.pdf

【SDL（Software Development Life Cycle）】是软件开发生命周期的缩写，它是一种安全开发方法，旨在将安全措施融入软件开发的每个阶段，以降低安全风险。SDL通常包括多个实践领域，如策略与指标、合规性与政策、培训、情报、标准和要求、安全性功能和设计、攻击模型、架构分析、代码审查、安全性测试、软件环境、渗透测试以及配置管理和安全漏洞管理。 【BSIMM（Building Security In Maturity Model）】是内置安全成熟度模型，是一种评估SDL实践成熟度的标准。BSIMM将SDL活动分为119项，分布在12个实践模块的4个区域，通过活动频率来衡量组织的安全水平。高成熟度的计划通常涵盖所有12个实践，并随时间发展和提升。 【评估SDL的参考标准】BSIMM-103提供了一套详细的评估标准，包括： 1. 战略和指标：教育高管、发布软件安全数据、落实异常跟踪。 2. 合规性与政策：制定安全政策、纳入供应商合同、反馈SSDL数据至政策。 3. 培训：开展基础和高级培训、供应商培训、外部活动。 4. 情报：制定安全标准、转化合规要求、控制开源风险、通知供应商标准。 5. 安全性功能和设计：构建安全功能、参与架构设计、采用安全功能和框架、发布设计模式。 6. 攻击模型：制定数据分类、识别攻击者、构建攻击模式。 7. 架构分析：进行安全性审查、设计审查、标准化架构描述。 8. 代码审查：自动化工具与人工审查结合、强制执行审查、定制规则、缺陷列表。 9. 安全性测试：基于安全性要求测试、整合安全工具、自动化测试、风险分析测试。 10. 软件环境：保障主机和网络安全、代码保护、应用行为监控。 11. 渗透测试：外部渗透测试、反馈结果、定期测试、深度分析。 12. 配置管理和安全漏洞管理：建立响应机制、反馈缺陷、跟踪错误直至修复、防止重复漏洞。 【SAMM（Software Assurance Maturity Model）】是软件保证成熟度模型，类似于BSIMM，但更注重可度量和适应不同开发模式（如瀑布、迭代、敏捷、DevOps）。SAMM分为4个部分，包括核心业务功能和安全保证实践，帮助组织分析和提升软件安全。SAMM的2.0版本新增了业务功能、安全实践，提供基准测试和改进路径。 【SAMM的评估与提升】SAMM提供了快速入门指南和工具箱，用于执行自我评估和创建改进路线图。它强调威胁评估、安全构建、事件管理、策略和合规、安全需求、需求驱动的测试、环境管理、教育和指导、安全架构、缺陷管理、安全测试以及运营管理等关键实践。 不同企业在构建SDL时会根据自身的业务需求、技术水平和安全状况选择不同的实践路径。BSIMM和SAMM提供了标准化的评估和改进框架，帮助企业更好地理解和优化其SDL过程，以实现更高效、更安全的软件开发。