文档介绍:成熟度分级:
L1:这部分内容提供了针对如何思考问题的建议,这些问题没有已证明的或是公认的解决方案。描述的目的在于引起读者的注意并帮助他们思考问题的可能解决方案。这部分内容包括在一些特定的约束条件下验证成功而有望应用于实际的研究成果。
L2:这部分内容描述那些已投入前期应用并取得良好效果的安全条例
L3:这部分内容描述的安全条例仅限于工业或政府部门使用,也就是说只针对特定的领域范围。
L4:这部分内容描述了已经成功部署并广泛应用的安全条例。读者可以完全放心地使用这些条例。
1、贯穿整个开发周期的软件安全条例
推荐的条例顺序
描述
成熟度
和条例相关的角色
安全软件的属性
对软件安全属性的理解和描述,应该有很好的核心属性和相关属性
L4
负责软件开发的管理者
项目经理
所有软件工程师
安全分析师
攻击模式
以常见的软件攻击方法作为改善攻击抵御能力的出发点
L3
需求工程师
架构师
设计者
开发者
质量保证工程师
保证案例
通过软件的属性确定捕捉、通信的结构化机制、软件所需的安全保证等级
L2
项目经理
质量保证工程师
安全分析师
需求管理者
软件提供商
2、需求工程条例
推荐的条例顺序
描述
成熟度
和条例相关的角色
标准的安全需求工程过程
发布定义好的确定安全需求的过程,并文档化,例如SQUARE
L3
项目经理
安全风险分析
进行风险分析,以确立安全的计划。它是项目风险分析或者独立的一部分
安全成熟度L3;
项目成熟度L4
项目经理
需求工程师经理
威胁识别
使用诸如误用/滥用的案例、威胁模型、攻击模式、攻击者树
L3
需求工程师经理
安全分析师
等等来识别安全威胁
安全需求启发
进行安全需求启发活动,以识别潜在的安全需求
L2
需求工程师经理
投资者
安全需求分类和排序
把安全需求分类并赋予优先级,以区别确实的需求和架构性需求并优化成本效益
L2
需求工程师经理
投资者
安全需求检查
检查安全需求及其与其他需求的关系并确认是否正确和完整
安全成熟度L2;
检查成熟度L4
需求工程师经理
安全设计原则
高层次的视角/条例,以提供架构和设计的指引
L3
架构师
设计师
安全分析师
攻击模式
以常见的软件攻击方法作为改善攻击抵御能力的出发点
L3
需求工程师
架构师
设计者
开发者
质量保证工程师
安全分析师
架构风险分析
进行软件架构和设计分析,以及对支持需求的能力的详细风险评估
L3
架构师
设计师
安全分析师
安全指导
经过验证的特殊技术方面的指导,引导如何将安全集成到架构和设计中
L3
架构师
设计师
开发者
安全分析师
3、编码和测试条例
推荐的条例顺序
描述
成熟度
和条例相关的角色
安全编码条例
使用健全的和经过验证为安全的编码条例来减少软件实现时的漏洞
L4
项目经理
安全分析师
开发者
源码安全缺陷审查
使用静态源码分析工具进行源码审查和人工的审查方式来减少实现级的安全漏洞
L4
项目经理
安全分析师
开发者
单独的安全测试
理解软件安全测试和传统软件测试的区别,并策划如何强调这一点(包括以攻击者角度思
L