- 1、本文档共149页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
安全软体发展流程指引-nat.gov.tw.PDF
文件編號:ICST-C-004
103年資安服務暨專案管理辦公室
安全軟體發展流程指引
(V1.0)
執行單位:財團法人資訊工業策進會
中華民國 103年6月
報告摘要
報告名稱 安全軟體發展流程指引
資訊等級 ☐機密 ☐密 ☐內部使用 ☒普通
相關撰稿人 蔡宗霖、蔡思玟、陳佳伶、楊惟傑
閱讀對象 ☐一般主管 ☐資安人員 ☒資訊人員 ☐一般使用者
內容摘要:
一、目的
本指引針對安全軟體開發生命週期進行深入介紹,介紹傳統開發生命週期
與安全軟體生命週期之相似與相異之處,並針對國際ISO標準、資安組織
與單位制定之方法論與流程進行介紹與分析,並制定適用於安全軟體開發
生命週期各階段應遵循之導入事項 ,提供機關與單位進行安全軟體發展生
命週期 之推動參考 。
二、適用對象
本指引適用之對象為軟體開發人員、系統規劃人員與委外承辦人員。
●委外承辦人員,著重 參考之實務階段為 「安全軟體委外開發管理」與「風
險評估管理」 。委外專 案需識別 安全需求、確保 安全活動被執行並驗證 安
全需求被滿足 ,以及將風險管理活動整合 至安全軟體發展 流程中 。
●系統規劃人員,著重 參考之實務階段為 「安全軟體需求」、「安全軟體設
計 」、「安全軟體測試 」、「安全軟體部署 與維護 」。
●軟體開發人員 ,著重 參考之實務階段為 「安全軟體開發」,避免常見軟體
漏洞及實作安全控制措施,進行源碼安全檢查 ,建立與保護安全軟體開發
環境 。
i
三、章節架構
第 1章說明本指引之目的、適用對象及章節架構介紹。
第 2章第 1 、2節說明介紹「傳統軟體發展流程」、「安全軟體發展流程」,
以了解兩者之差異。
第 2章第 3節介紹「軟體安全發展相關國際標準」,如 ISO/IEC 27001:2013 、
ISO/IEC 27034:2011 、NIST SP 800-64 ,作為本指引參考文獻。
第 2章第 4節「導入安全軟體發展流程之管理重點」,說明組織若要導入
安全軟體發展流程,於管理制度面需要注意的地方,包含「策略與評量」、
「政策與法規遵循」與「教育訓練」。
第 3章開始,就安全軟體發展流程中,各階段的實務活動進行說明。
第 3章第 1節「安全軟體需求」,說明介紹軟體安全需求類型,進行需求
萃取方式,以及後續追蹤的需求追溯矩陣。
第 3章第 2節「安全軟體設計」,說明進行設計時應遵循的安全軟體設計
法則,以及安全軟體設計風險分析方法,包含「威脅建模」、「架構風險
分析」等。於設計階段,進行安全設計審查,確保設計符合安全需求。
第 3章第 3節「安全軟體開發」,說明開發過程中,應避免的常見軟體漏
洞及因應相關漏洞之控制措施。程式設計師撰寫程式碼後,應進行程式碼
安全檢查,並注意其開發環境的安全性。
第 3章第 4節「安全軟體測試」,說明軟體測試階段針對安全性進行之源
碼檢測與滲透測試,以及此階段需驗證安全需求的實作結果是否符合預期
要求。
第 3章第 5節「安全軟體部署與維運」,說明介紹軟體上線需進行部署環
境的強化,後續軟體變更的管理,軟體維運中的監控量測,以及發生資安
ii
事故的處理。
第 3章第 6節「安全軟體委外開發管理」,說明軟體委外各階段中,如何
使用本指引介紹之實務活動內容輔助進行委外管理。
第 4章「結論」,總結各章節內容。
第 5章「參考文獻」,詳列本指引參考的文件資料 。
第 6章「附件」,詳列本指引的相關附件內容。
關鍵詞 安全軟體發展生命週期、安全軟體開發、安全軟體設計
iii
文档评论(0)