Cycle de développement logiciel sécurisé (SSDLC)

Un SSDLC formalise quand et comment la sécurité s'inscrit dans la livraison logicielle plutôt que d'en faire un audit ponctuel. Les phases typiques incluent les exigences de sécurité, la modélisation des menaces, la revue d'architecture sécurisée, les standards de codage sécurisé, la revue de code, le SAST, le SCA, le DAST/IAST, les tests d'intrusion, les portes de livraison et la supervision en production. Microsoft SDL, OWASP SAMM et NIST SSDF décrivent les pratiques et niveaux de maturité visés. Le bénéfice est une réduction de risque prévisible : les vulnérabilités sont corrigées tant qu'elles restent peu coûteuses, et les preuves de conformité sont générées comme sous-produit du travail d'ingénierie.