典型软件安全开发生命周期对比研究.pdfVIP

典型软件安全开发生命周期对比研究.pdf

  1. 1、本文档共4页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
典型软件安全开发生命周期对比研究.pdf

2013年第1期 福建电脑 7, 典型软件安全开发生命周期对比研究 王涛,付丹丹,邵国强 (大庆师范学院计算机科学与信息技术学院黑龙江大庆163712) 【摘 要】:从软件开发过程角度入手采取主动防御的策略才能更加有效地清除安全风险正 逐步成为软件开发组织的共识.本文对当前比较典型的三种软件安全开发生命周期做了较深入 的对比和分析,并总结了其共有的特点,以给软件开发组织制定自己的开发过程模型提供帮助。 【关键词】:软件安全;生命周期;sDL;cLAsP;安全接触点 0、引言 通过一些正式的安全最佳实践将安全属性以一种 软件只有在满足了保密性、完整性和可用性 结构化、可重复和可测量的方式整合进软件开发 以及不可否认性等安全属性的情况下才被认为是 组织的现有或者新开动的软件开发生命周期中。 安全的.然而现实中大多数软件都不足够安全。包 1.3McGraw的安全接触点方法 含一些可被有恶意企图的人利用的安全缺陷。传 McGraw强调应该使用工程化的方法来实施 统的软件开发生命周期中很少考虑安全属性.导 软件安全.即在整个软件开发生命周期中都要确 致在软件开发阶段引入安全脆弱性。 保将安全作为软件的一个有机组成部分。支持该 安全软件工程将安全考虑集成到软件开发过 模型的三根支柱是风险管理、软件安全的接触点 程的每一个阶段来避免安全缺陷【1]。将一系列安全 和安全知识. 设计原则、安全最佳实践及专家经验组合起来,形 以上提到的各种开发模型都提供了涵盖整个 成了软件安全开发生命周期。目前比较有影响力 开发生命周期的一系列活动.这些模型也都经过 了实践的检验。 的有微软的SDL【2】(SecuritvDevelopmentLifecy— 2、各模型的分阶段对比 cle),OWASP的CLASP【3】(Comprehensive,Lightweig ht 每一个开发周期模型都处于不断演化进步的 ApDlicationSecuritvProcess)方法和McGraw的 安全接触点方法【4】。 过程中.本文对比所选用的版本是能获取到的最 1、软件安全开发生命周期简介 CommonCriteria(国际通用的软件安全评估 发阶段所进行活动的角度来对三种模型做对比。 准则)中的生命周期模型安全保障类ALC:Life— cvclesupport指出:为开发和维护一个评估目标使2.1项目启动阶段 用一个生命周期模型并不能确保评估目标就能满 三种模型都认为应该对项目组成员进行安全 足所有的安全需求.可能选定的模型不够充分,对 培训:SDL中安全培训是基础性工作。开发成员必 评估目标的益处并不能观察到.但使用一个已被 须了解基本安全概念.每年至少参加一门安全培 众多专家或标准组织认可的生命周期模型将提升 训课程。并为开发人员提供了人门培训套件,其中 待评估目标满足安全需求的机会。 含有14个用于安全开发过程的简要的、独立划分 1.1微软的SDL方法 的指导方针:CLASP中基本的安全培训面向所有 微软的安全开发生命周期SDL是一个业界项目成员.此外针对不同角色还需要进行专门的 领先的软件安全保障过程。通过与实际的开发方 培训:安全接触点方法提供了知识管理的框架,通 法相结合.SDL将安全和隐私方面的考虑很早就过该框架加速安全知识的传播。在该阶段三种方 集成到开发中,并贯穿整个开发过程。 法也都提到建立安全团队.分配安全任务:SDL中 1.20WA

文档评论(0)

带头大哥 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档