SDL軟件安全讀書筆記（二）

# SDL活動與最佳實踐，第一階段安全評估，應該作些什麼？

發起SDL啓動會議，在會上關鍵的SDLC利益相關者在過程當中開始時聚在一塊兒，使安全成爲內置的而不是附加的。在發現會議安全規劃中應包括籌備整個系統生命週期，包括關鍵安全里程碑和可交付成果以及工具和技術的鑑定。考慮須要採購的項目，如安全測試和評估工具，第三方第三方安全工程師潛在的認證以及培訓。項目進度表應結合安全活動，以確保時間和資源的規劃。全部利益相關者應該就本次會議的安全影響、注意事項以及對軟件的要求達成共識。

 

# 軟件安全團隊提前參與項目，軟件安全團隊發起安全評估會議

    四項原則問題應該獲得解決，肯定被開發軟件所需的安全性控制：

• 軟件知足客戶任務的關鍵程度如何？此係統知足組織的任務關鍵性有多高？
• 軟件所必須的安全目標是什麼？軟件的安全目標就機密性、完整性和可用性來說是什麼？（審覈和日誌記錄，身份驗證）
• 哪些法規和政策是適用於肯定什麼須要保護的？什麼法規和政策是適用的？
• 軟件運行的環境中可能存在什麼威脅？系統運行時在環境中可能有什麼威脅？

    發現會議主要任務：

• 制定安全性里程碑初步的項目大綱，將被集成到開發項目的進度中
• 肯定安全要求，如相關法律、法規、標準和客戶要求的來源
• 肯定任何須要的認證和認證要求所需的資源
• 找出任何將須要的第三方或開源軟件
• 肯定用於軟件開發的通用安全控件（軟件開發的通用框架？）
• 肯定戰術和戰略業務項，並定義所需的安全性報告指定條款
• 提出關鍵的安全里程碑的初步框架，包括時間框架或發展觸發器的安全步驟
• 定義SDL/SDLC過程當中支持安全所需的 核心軟件安全小組、軟件安全從業者、開發商、隱私團隊和任何利益相關者的安全責任
• 識別和記錄將被使用的軟件安全設計、體系結構和安全編碼實踐
• 肯定使用的安全測試和評估技術
• 制定一個預先的隱私影響評估流程，包括肯定信息的分類和識別傳輸、存儲或建立信息（例如我的識別信息）已知的特殊處理要求，以及任何隱私要求的初步鑑定
• 若是可能的話，項目工件，如會議紀要、簡報和角色標識應該標準化，並提供給開發人員最大努力的規劃。

 

# 軟件安全團隊建立SDL項目計劃

• 產品風險輪廓
• 威脅輪廓的準確度
• 有關規定、認證和法規聽從框架的覆蓋度
• 軟件所需安全目標的覆蓋度

 

# 隱私影響評估計劃

    不重視隱私，將它做爲一個將來探討的問題處理。隱私必須是一個基本的設計因素，集成到SDL各階段

• 各類層次上產生了愈來愈多的隱私法規
• 當客戶委託公司敏感信息時，每一個員工有義務保護這些信息
• 客戶的隱私被侵犯有重大影響，顯著影響公司的聲譽和開發的軟件的收入

    PIA過程主要任務，安全要求取決於收集到的用戶數據的類型，以及是否本地存儲、傳輸或遠程存儲。安全控制和測量的最終目標是防止PII丟失、誤用、未經受權的訪問、披露、變動和破壞。控制和測量不只包括軟件控制（諸如訪問控制、傳輸和存儲的加密），也包括物理安全、災難恢復，以及審計。

• PII收集的目的和要求
• PII存儲保留的期限和理由
• 安全保障，保護PII和我的信息的安全保障的設置要求
• 數據完整性，肯定PII和我的信息是及時更新和準確的
• 應用最小特權原則
• 客戶隱私的通知
• 兒童隱私
• 第三方
• 隱私影響評級（P1高隱私風險 P2中隱私風險 P3低隱私風險）

 

# 可交付成果

• 產品風險輪廓
• SDL項目概述（針對安全里程碑和映射到開發進度）
• 使用的法律和法規
• 威脅輪廓
• 認證要求
• 第三方軟件和開源軟件列表
• 度量標準模版

 

# 項目度量標準

• 軟件安全團隊循環時間
• 參加SDL的利益相關者的百分比
• SDL活動映射到開發活動的百分比
• 安全目標的知足的百分比

 

# 思考的問題

1. 若是評估一個產品涉及的安全合規要求？
2. 開源軟件如何自動高效的收集？
3. 產品風險輪廓和威脅輪廓如何定義？