01.什么是SDL
SDL是微軟提出的一種軟件開發安全生命周期管理的一種最佳安全實踐,全稱為Security Development Lifecycle。
SDL是微軟軟件開發安全保障流程,結合了軟件開發整個生命周期,將安全工程師嵌入到整個開發流程,和研發一起來協同工作保障整個軟件生命周期內的安全。
SDL分為7個步驟和16種最佳安全實踐的方式來保證整體安全流程周期內的可控性。
02.企業為什么需求SDL
在SDL方法中,目的是為了從安全漏洞產生的根源上解決應用安全問題,通過對軟件開發流程的控制,保證產品的安全性。
當一個企業對安全相對重視的情況下,在每年進行安全輪詢時還總能找到各種各樣的安全問題。每年的漏洞數量並沒有明顯的下降。這個時候就應該 考慮從根源解決問題。
由於企業的開發人員的技術參差不齊,部分相關開發者心中沒有安全的相關概念、項目的上線及迭代更新沒有相應的規范等等,這些問題都將會是導致出現安全問題的根本原因。
而SDL規范流程正是從根本原因解決這些問題。SDL對軟件開發過程中所有參與該項目的相關工種,都將引入相關的安全概念,形成一個閉環,從而解決出現安全的根本問題
03.哪些企業需要SDL
隨着社會的發展,現在基本上所有的企業都在利用計算機網絡進行辦公,幾乎所有的商業信息都存儲在了網絡之上。如果對信息安全不夠重視,一旦商業機密被他人竊取,受到的經濟損失將是無法估計的,有可能影響着企業的生死存亡。
理論上來講對於信息安全,無論企業規模大小,無論企業信息的重要程度如何,注重信息安全是非常有必要的。但部分企業無法承擔網絡安全所帶來的花銷以及人力成本問題,所以企業要衡量一下網絡安全在公司所占有的資源以及地位是否能夠承受。對於互聯網企業、軟件開發商以及注重商業機密或大量用戶信息依賴在網絡環境中的相關企業都應重視網絡安全問題。
對於擁有龐大的開發團隊的企業,由於大量的開發人員以及產品的頻繁迭代,推動SDL規范流程是目前最好的減少企業相關網絡應用產品的安全問題。
推動SDL需企業具備以下條件:
- 重視信息安全
- 擁有成熟的開發和管理團隊
- 規范的產品研發和迭代流程
04.SDL所帶來的優缺點
待續
轉自:https://www.securitypaper.org/