论坛

Microsoft Security ...
 
Notifications
清除所有

Microsoft安全中国体育彩票开奖生命周期(SDL)


帖子:84
主持人
Topic starter
(@太极)
成员
Joined: 1 year ago

 Microsoft安全中国体育彩票开奖生命周期(SDL) 在中国体育彩票开奖过程的所有阶段介绍安全和隐私考虑因素。它帮助中国体育彩票开奖人员构建高度安全的软件,解决安全合规性要求,并降低中国体育彩票开奖成本。 SDL中的指导,最佳实践,工具和进程是Microsoft内部用于构建更多安全产品和服务的实践。

自2008年首次分享SDL以来,持续更新实践以涵盖云服务,物联网和AI等新场景。

提供培训

安全是每个人's job。中国体育彩票开奖人员,服务工程师和程序和项目经理必须了解安全基础。他们都必须知道如何建立安全进入软件和服务,以使产品更安全,同时仍在解决业务需求和提供用户价值。有效的培训将补充和加强软件安全的安全策略,SDL实践,标准和要求,并通过通过数据或新可用的技术能力来指导的洞察。

虽然安全是每个人's job, it'重要的是要记住,不是每个人都需要成为安全专家,也不努力成为熟练的渗透测试仪。但是,确保每个人都了解攻击者'S的观点,目标和可能的艺术将有助于抓住每个人的注意,并提高集体知识吧。

定义安全要求

安全性和隐私是中国体育彩票开奖高度安全应用程序和系统的基本方面。无论使用的中国体育彩票开奖方法如何,必须连续更新安全要求,以便满足所需功能的变化和对威胁景观的更改。定义安全要求的最佳时间是在初始设计和规划阶段期间。早期规划允许中国体育彩票开奖团队以最大限度地减少中断的方式整合安全性。

影响安全要求的因素包括但不限于:

  • 法律和行业要求
  • 内部标准和编码实践
  • 审查以前的事件
  • 已知的威胁

这些要求应通过工作跟踪系统跟踪,或通过从工程管道派生的遥测进行跟踪。

定义指标和合规报告

It'对于一个组织来确定最低可接受的安全质量水平,并持有工程团队对符合该标准的合作组织是必不可少的。定义这些预期早期帮助团队了解与安全问题相关的风险,在中国体育彩票开奖期间识别和修复安全缺陷,并在整个项目中应用标准。设置有意义的安全栏涉及清楚地定义安全漏洞的严重性阈值,并有助于在遇到漏洞时建立行动计划。例如,所有已知的漏洞都已发现"critical" or "important"严重程度必须使用指定的时间框架来修复。

要跟踪关键性能指示符(KPI)并确保完成安全任务,组织(例如Azure Devops)使用的错误跟踪和/或工作跟踪机制应允许安全缺陷和安全工作项清楚地标记为安全性,以及标记为适当的安全严重程度。此跟踪允许准确跟踪和报告安全工作。

您可以了解有关定义度量和合规性报告的更多信息:

执行威胁建模

威胁建模应在有一种有意义的安全风险的环境中使用。作为一项练习,它允许中国体育彩票开奖团队考虑在计划的运营环境的背景下以及结构化的时尚中审议设计和讨论设计的安全影响。应用结构化方法来威胁方案可以更有效地帮助团队,更少地识别安全漏洞,确定这些威胁的风险,然后制作安全功能选择并建立适当的缓解。您可以在组件,应用程序或系统级别应用威胁建模。

更多信息可用 威胁建模.

建立设计要求

SDL.通常被认为是保证活动,帮助工程师实现更安全的功能,这意味着该功能可以充分用于安全性。为实现这种保证,工程师通常依赖于安全性,身份验证和记录等安全功能。在许多情况下,选择或实施安全功能已被证明是如此复杂,因为设计或实现选择可能导致漏洞。因此,它'它们至关重要,它们一直应用于他们提供的保护的一致理解。

定义和使用加密标准

随着移动和云计算的兴起,它'对于确保所有数据 - 包括安全敏感信息和管理和控制数据 - 免受意外披露或改变的重要性's被传输或存储。加密通常用于实现这种保护。但是,在使用密码学的任何方面时,选择不正确的选择可能是灾难性的。因此,它'最好中国体育彩票开奖清晰的加密标准,为加密实现的每个元素提供细节。

加密应留给专家。一个良好的一般规则是只使用行业审查的加密库并确保它们'重新实现,以一种允许它们在需要时容易更换。

有关加密的更多信息,请参阅 Microsoft SDL加密建议 白皮书。

使用第三方组件管理安全风险

今天绝大多数软件项目都是使用第三方组件(商业和开源)建造的。选择要使用的第三方组件时,它'了解他们在整合的较大系统的安全性方面的安全漏洞的影响很重要。具有这些组件的准确清单,以及在发现新漏洞时响应的计划,将走向减轻风险。但是,您还应该考虑额外的验证,具体取决于您的组织'S风险容忍度,使用的组件类型,以及安全漏洞的潜在影响。

了解有关管理使用第三方组件的安全风险的更多信息:

使用批准的工具

定义和发布批准的工具列表及其相关的安全检查,例如编译器/链接器选项和警告。工程师应该努力使用最新版本的批准工具(如编译器版本),并利用新的安全分析功能和保护。

有关更多信息,请参阅:

执行静态分析安全测试

在编译之前分析源代码提供了一种高度可扩展的安全代码审查方法,并有助于确保遵循安全的编码策略。静态分析安全测试(SAST)通常集成到提交管道中以识别软件构建或打包的每次时识别漏洞。但是,某些产品集成到中国体育彩票开奖人员环境中,以发现某些缺陷,例如不安全或其他禁止函数的存在,然后在中国体育彩票开奖人员积极编码时用更安全的替代品替换这些功能。没有单尺寸适合 - 所有解决方案;中国体育彩票开奖团队应决定执行SAST的最佳频率,并考虑部署多个策略以平衡生产力,以充分的安全覆盖。

更多信息可供选择:

执行动态分析安全测试

执行完全编译或打包软件的运行时验证检查所有组件是否集成并运行时才显而易见的功能。通常使用工具,一套预先构建的攻击或专门监视内存行为的工具来实现此验证,或者专门监视内存损坏,用户权限问题和其他关键安全问题的工具。类似于SAST,没有一种尺寸适合 - 所有解决方案,而某些工具(如Web App扫描工具)可以更容易地集成到CI / CD管道中,其他动态应用安全测试(DAST)(如模糊)需要一种不同的方法。

更多信息可供选择:

执行渗透测试

渗透测试是由熟练的安全专业人员执行的软件系统的安全分析,他们模拟了黑客的动作。渗透测试的目的是揭示由编码错误,系统配置故障或其他操作部署弱点产生的潜在漏洞。渗透测试通常会找到最广泛的漏洞,通常与自动化和手动审查一起进行,以提供比通常是可能的分析更大的分析。

更多信息可供选择:

建立标准事件响应过程

准备事故响应计划对于解决可以随着时间的推移出现的新威胁至关重要,您的计划应与您的组织协调创建'S专用产品安全事件响应团队(PSIRT)。您的事件响应计划应:

  • 如果发生安全紧急情况,请包括谁联系
  • 建立安全维修协议(包括从组织内的其他组和第三方代码中遗传的代码的计划)
  • 在需要之前进行测试

有关事件响应的更多信息,请参阅:

通过在整个中国体育彩票开奖过程的所有阶段引入标准化的安全和合规考虑,中国体育彩票开奖人员可以减少产品和服务中漏洞的可能性,避免重复相同的安全错误。同样,整个运营中的安全集成生命周期将有助于维护这些产品和服务的完整性。操作安全保障实践应与您的中国体育彩票开奖流程保持一致;这种安排将导致较少的时间和成本在分类和响应之后花费的时间,并为您的客户提供保证,您的产品具有高度安全性。

 

防守深入 是覆盖主题 - 将安全性视为多层,多向量关注。威胁来自我们不的地方'期待,他们可以带来强壮的力量,让我们感到惊讶。

Azure.有开箱即用的帮助我们面临的安全问题。我们应该采取的第一个步骤之一是评估Azure的帮助程度我们可以根据我们是否使用'reveraging iaas,paas或saaS。

Azure. Security Center集中了大部分帮助Azure。它提供单个仪表板,具有许多服务的视图,并帮助确保您是最佳实践。不断更新的机器学习算法有助于确定最新的威胁是否针对您的资源。它有助于您的组织减轻威胁。

此模块仅是介绍性的。安全是一个深刻而复杂的话题,所以无论你的云方法如何,都需要持续的安全教育。但是这个模块应该让你从正确的方向开始,所以你知道接下来需要学习什么。

学到更多

以下是一些其他地方,了解有关我们的内容've covered today:

分享: