SDL的深入探究及实践.pdf

SDL的深入探究及实践 金山云 - 邱雁杰 关于我 SYClover安全研究团队核心成员 • Web安全研究 • 网络渗透研究 百度高级安全工程师 • 百度安全扫描系统 • 企业安全 （应急响应、安全评估等SDL相关） 金山云高级安全工程师 • 安全产品研发 • 企业安全整体建设 大纲 SDL简介 项目生命周期中的安全风险 SDL如何介入研发流程 SDL如何介入研发流程 SDL的最佳实践 QA 大纲 SDL简介 项目生命周期中的安全风险 SDL如何介入研发流程 SDL如何介入研发流程 SDL的最佳实践 QA SDL简介 SDL是什么 • SDL即Security Development Lifecycle (SDL)，是微软提出的从安全角度指 导软件开发过程的管理模式,是一种专注于软件开发安全保障的流程。 SDL能解决什么问题 • 是将设计、代码和文档等与安全相关漏洞减到最少，在软件开发的生命 周期中尽可能的早地发现解决相关漏洞建立的流程框架; • 为了实现保证最终的用户安全，在软件开发各阶段中引入针对项目安全 和用户隐私问题的解决方案。 大纲 SDL简介 项目生命周期中的安全风险 SDL如何介入研发流程 SDL简介 SDL的最佳实践 QA SDL如何介入研发流程 项目研发生命周期 ： 需求分 析 设 计 研 发 测 试 部 署 项目周期中的安全风险 项目研发生命周期中安全风险暴露模型 ： 部署上线：攻击面完全暴露，