# SDL活动与最佳实践,第一阶段安全评估,应该做些什么?
发起SDL启动会议,在会上关键的SDLC利益相关者在过程中开始时聚在一起,使安全成为内置的而不是附加的。在发现会议安全规划中应包括筹备整个系统生命周期,包括关键安全里程碑和可交付成果以及工具和技术的鉴定。考虑需要采购的项目,如安全测试和评估工具,第三方第三方安全工程师潜在的认证以及培训。项目进度表应结合安全活动,以确保时间和资源的规划。所有利益相关者应该就本次会议的安全影响、注意事项以及对软件的要求达成共识。
# 软件安全团队提早参与项目,软件安全团队发起安全评估会议
四项原则问题应该得到解决,确定被开发软件所需的安全性控制:
- 软件满足客户任务的关键程度如何?此系统满足组织的任务关键性有多高?
- 软件所必须的安全目标是什么?软件的安全目标就机密性、完整性和可用性来讲是什么?(审核和日志记录,身份验证)
- 哪些法规和政策是适用于确定什么需要保护的?什么法规和政策是适用的?
- 软件运行的环境中可能存在什么威胁?系统运行时在环境中可能有什么威胁?
发现会议主要任务:
- 制定安全性里程碑初步的项目大纲,将被集成到开发项目的进度中
- 确定安全要求,如相关法律、法规、标准和客户要求的来源
- 确定任何必要的认证和认证要求所需的资源
- 找出任何将需要的第三方或开源软件
- 确定用于软件开发的通用安全控件(软件开发的通用框架?)
- 确定战术和战略业务项,并定义所需的安全性报告指定条款
- 提出关键的安全里程碑的初步框架,包括时间框架或发展触发器的安全步骤
- 定义SDL/SDLC过程中支持安全所需的 核心软件安全小组、软件安全从业者、开发商、隐私团队和任何利益相关者的安全责任
- 识别和记录将被使用的软件安全设计、体系结构和安全编码实践
- 确定使用的安全测试和评估技术
- 制定一个预先的隐私影响评估流程,包括确定信息的分类和识别传输、存储或创建信息(例如个人识别信息)已知的特殊处理要求,以及任何隐私要求的初步鉴定
- 如果可能的话,项目工件,如会议纪要、简报和角色标识应该标准化,并提供给开发人员最大努力的规划。
# 软件安全团队创建SDL项目计划
- 产品风险轮廓
- 威胁轮廓的准确度
- 有关规定、认证和法规遵从框架的覆盖度
- 软件所需安全目标的覆盖度
# 隐私影响评估计划
不重视隐私,将它作为一个未来探讨的问题处理。隐私必须是一个基本的设计因素,集成到SDL各阶段
- 各种层次上产生了越来越多的隐私法规
- 当客户委托公司敏感信息时,每个员工有义务保护这些信息
- 客户的隐私被侵犯有重大影响,显著影响公司的声誉和开发的软件的收入
PIA过程主要任务,安全要求取决于收集到的用户数据的类型,以及是否本地存储、传输或远程存储。安全控制和测量的最终目标是防止PII丢失、误用、未经授权的访问、披露、变更和破坏。控制和测量不仅包括软件控制(诸如访问控制、传输和存储的加密),也包括物理安全、灾难恢复,以及审计。
- PII收集的目的和要求
- PII存储保留的期限和理由
- 安全保障,保护PII和个人信息的安全保障的设置要求
- 数据完整性,确定PII和个人信息是及时更新和准确的
- 应用最小特权原则
- 客户隐私的通知
- 儿童隐私
- 第三方
- 隐私影响评级(P1高隐私风险 P2中隐私风险 P3低隐私风险)
# 可交付成果
- 产品风险轮廓
- SDL项目概述(针对安全里程碑和映射到开发进度)
- 使用的法律和法规
- 威胁轮廓
- 认证要求
- 第三方软件和开源软件列表
- 度量标准模版
# 项目度量标准
- 软件安全团队循环时间
- 参加SDL的利益相关者的百分比
- SDL活动映射到开发活动的百分比
- 安全目标的满足的百分比
# 思考的问题
- 如果评估一个产品涉及的安全合规要求?
- 开源软件如何自动高效的收集?
- 产品风险轮廓和威胁轮廓如何定义?