01.什么是SDL
SDL是微软提出的一种软件开发安全生命周期管理的一种最佳安全实践,全称为Security Development Lifecycle。
SDL是微软软件开发安全保障流程,结合了软件开发整个生命周期,将安全工程师嵌入到整个开发流程,和研发一起来协同工作保障整个软件生命周期内的安全。
SDL分为7个步骤和16种最佳安全实践的方式来保证整体安全流程周期内的可控性。
02.企业为什么需求SDL
在SDL方法中,目的是为了从安全漏洞产生的根源上解决应用安全问题,通过对软件开发流程的控制,保证产品的安全性。
当一个企业对安全相对重视的情况下,在每年进行安全轮询时还总能找到各种各样的安全问题。每年的漏洞数量并没有明显的下降。这个时候就应该 考虑从根源解决问题。
由于企业的开发人员的技术参差不齐,部分相关开发者心中没有安全的相关概念、项目的上线及迭代更新没有相应的规范等等,这些问题都将会是导致出现安全问题的根本原因。
而SDL规范流程正是从根本原因解决这些问题。SDL对软件开发过程中所有参与该项目的相关工种,都将引入相关的安全概念,形成一个闭环,从而解决出现安全的根本问题
03.哪些企业需要SDL
随着社会的发展,现在基本上所有的企业都在利用计算机网络进行办公,几乎所有的商业信息都存储在了网络之上。如果对信息安全不够重视,一旦商业机密被他人窃取,受到的经济损失将是无法估计的,有可能影响着企业的生死存亡。
理论上来讲对于信息安全,无论企业规模大小,无论企业信息的重要程度如何,注重信息安全是非常有必要的。但部分企业无法承担网络安全所带来的花销以及人力成本问题,所以企业要衡量一下网络安全在公司所占有的资源以及地位是否能够承受。对于互联网企业、软件开发商以及注重商业机密或大量用户信息依赖在网络环境中的相关企业都应重视网络安全问题。
对于拥有庞大的开发团队的企业,由于大量的开发人员以及产品的频繁迭代,推动SDL规范流程是目前最好的减少企业相关网络应用产品的安全问题。
推动SDL需企业具备以下条件:
- 重视信息安全
- 拥有成熟的开发和管理团队
- 规范的产品研发和迭代流程
04.SDL所带来的优缺点
待续
转自:https://www.securitypaper.org/