0x00 前言
最近看了很多的资料,针对SDL的内容差不多是理解了的,在这篇进行一下汇总。
0x01 链接
0x02 SDL思考
整个SDL实际上是为了适配瀑布式的开发流程,虽然说是从开发的时候提前考虑安全问题以及合规,隐私等问题,但是体量非常大,需要考虑的内容也非常多,并且十分依赖人的参与,没有实现自动化,对于一些小型企业或者一些迭代快速的软件来说就有点难以落地,有两种方案一种是针对SDL进行精简,还有一种方式就是采用其他的安全开发模式,比如说DevSecOps。
0x03 现象
SDL的完整流程主要是针对一个软件从头开始的流程,但是面临的很多问题就是,产品已经发版了,所以在落实SDL的时候,可以将目标从整个软件精简到小的功能块,可以参考PASTA的业务拆分,对单一的业务进行SDL流程
- 威胁建模分析
- 合法合规确认
- 安全编码规范
- 单个功能黑白盒测试
- 最终结果
0x04 提前准备
实际上我们可以不等需要SDL建设的时候才去考虑相对应的流程,可以在进行SDL之前就完成相对应的内容比如:
- 培训文档&PPT
- 编码规范文档
- 常规漏洞威胁表
- 常见功能威胁建模
- 常见威胁内容
- 自定义工具
- 自定义规则
- 合规&合法文档
- 初版应急响应文档
当然以上内容可以等DevSecOps结束后一起整理。