5.软件安全与开发组织.pptVIP

软件安全与管理风险 软件安全就是管理风险 没有100%的安全 安全是相对的.就如同我们的跳伞运动一样 安全是业务与风险管理所达成的一种折衷. 预防式的安全就是把事情做正确 为了安全而设计,在软件设计时就考虑安全. 安全的编码实践 安全测试作为质量保证测试的一部份. 质量合格的软件也是安全的软件 集成软件风险管理到软件开发生命周期 软件安全涉及的公司组织 软件安全组合了风险管理和软件开发,需要管理层和开发团队通力合作才能高效降低和消除软件安全风险 公司决策层 制定软件安全目标，避免公司业务、声誉和资产被破坏和丢失，比如项目在发布之前必须通过Fortify SCA的审计. 安全团队 制定安全策略达到公司的目标，并细化具体的实现和控制流程. 开发团队 在公司策略的实施和控制下开发安全的质量合格的软件. 建立应用软件安全团队 目的：为软件安全提供一站式的辅助和服务： architectural consultation, threat modeling developer training code review, coding standards and guidelines, penetration testing, and security policies 成员来源于 IT/N