欢迎来到天天文库
浏览记录
ID:10225246
大小:24.53 KB
页数:5页
时间:2018-06-12
《企业软件安全规范》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、www.gdtesting.com成熟度分级:L1:这部分内容提供了针对如何思考问题的建议,这些问题没有已证明的或是公认的解决方案。描述的目的在于引起读者的注意并帮助他们思考问题的可能解决方案。这部分内容包括在一些特定的约束条件下验证成功而有望应用于实际的研究成果。L2:这部分内容描述那些已投入前期应用并取得良好效果的安全条例L3:这部分内容描述的安全条例仅限于工业或政府部门使用,也就是说只针对特定的领域范围。L4:这部分内容描述了已经成功部署并广泛应用的安全条例。读者可以完全放心地使用这些条例。1、贯穿整个开发周期的软件安全条例推荐的条例顺序描述成熟度和条例相关的角色安全软件的
2、属性对软件安全属性的理解和描述,应该有很好的核心属性和相关属性L4负责软件开发的管理者项目经理所有软件工程师安全分析师攻击模式以常见的软件攻击方法作为改善攻击抵御能力的出发点L3需求工程师架构师设计者开发者质量保证工程师保证案例通过软件的属性确定捕捉、通信的结构化机制、软件所需的安全保证等级L2项目经理质量保证工程师安全分析师需求管理者软件提供商2、需求工程条例推荐的条例顺序描述成熟度和条例相关的角色标准的安全需求工程过程发布定义好的确定安全需求的过程,并文档化,例如SQUAREL3项目经理安全风险分析进行风险分析,以确立安全的计划。它是项目风险分析或者独立的一部分安全成熟度L3
3、;项目成熟度L4项目经理需求工程师经理威胁识别使用诸如误用/滥用的案例、威胁模型、攻击模式、攻击者树L3需求工程师经理安全分析师www.gdtesting.comwww.gdtesting.com等等来识别安全威胁安全需求启发进行安全需求启发活动,以识别潜在的安全需求L2需求工程师经理投资者安全需求分类和排序把安全需求分类并赋予优先级,以区别确实的需求和架构性需求并优化成本效益L2需求工程师经理投资者安全需求检查检查安全需求及其与其他需求的关系并确认是否正确和完整安全成熟度L2;检查成熟度L4需求工程师经理安全设计原则高层次的视角/条例,以提供架构和设计的指引L3架构师设计师安全
4、分析师攻击模式以常见的软件攻击方法作为改善攻击抵御能力的出发点L3需求工程师架构师设计者开发者质量保证工程师安全分析师架构风险分析进行软件架构和设计分析,以及对支持需求的能力的详细风险评估L3架构师设计师安全分析师安全指导经过验证的特殊技术方面的指导,引导如何将安全集成到架构和设计中L3架构师设计师开发者安全分析师3、编码和测试条例推荐的条例顺序描述成熟度和条例相关的角色安全编码条例使用健全的和经过验证为安全的编码条例来减少软件实现时的漏洞L4项目经理安全分析师开发者源码安全缺陷审查使用静态源码分析工具进行源码审查和人工的审查方式来减少实现级的安全漏洞L4项目经理安全分析师开发者
5、单独的安全测试理解软件安全测试和传统软件测试的区别,并策划如何强调这一点(包括以攻击者角度思L3/L4项目经理安全分析师测试工程师www.gdtesting.comwww.gdtesting.com考)安全的功能测试用例确立有用的功能测试用例(使用各种测试用例设计方法),以验证软件满足需求,包括安全需求(正面的需求)L4项目经理安全分析师测试工程师基于风险的安全测试用例建立基于风险的测试用例(例如,使用误用/滥用案例,或者威胁模型),以检测普通的错误、潜在的缺陷,并设计降低措施来减少或消除风险(负面的需求)L3/L4项目经理安全分析师测试工程师使用含有一系列安全测试策略的测试用例
6、使用各类测试策略,包括白盒测试(基于对源代码的深度理解)、黑盒测试(关注软件可见的外部行为)、渗透测试(在系统级别识别特殊的漏洞)L4项目经理安全分析师测试工程师4、系统复杂性和规模的安全分析:降低措施推荐的条例顺序描述成熟度和条例相关的角色首先处理已知接口漏洞系统可信的接口越来越少,开发者应当首先关注已知的接口漏洞,比如网络服务中的漏洞L3项目经理安全分析师开发者对交叉系统工作过程进行端到端分析复杂度增加时,每个独立系统的漏洞分析已经不足。而系统之间的工作过程的安全分析(包括端到端)也很有必要。安全分析要考虑更大的范围L3系统架构师安全分析师试图包容故障并恢复假设在工作过程中存
7、在一些矛盾,不管是系统的还是用户的,特别是开始使用时。系统故障恢复能力应该得到重视并包含在过程持续性分析中。L4系统架构师软件架构师安全分析师设计者进行故障分析并设计降低措施来处理复杂性系统的多重性和他们之间的互相作用使得潜在的错误增加了很多。分析并确定如何利用故障分析并得出降低措施L2首席信息官系统架构师安全分析师设计者在整个软件组织中安全往往被认为是一个独立的L4首席信息官www.gdtesting.comwww.gdtesting.com进行安全协作模块,因此这个任务也常常
此文档下载收益归作者所有