应用安全
安全软件开发生命周期(SSDLC)
别称: SSDLC, 安全开发生命周期
定义
将安全活动嵌入软件交付各阶段(需求、设计、编码、测试、发布与运维)的开发生命周期。
SSDLC 把安全工作正式融入软件交付的全过程,而不是作为一次性的审计任务。典型阶段包括安全需求、威胁建模、安全架构评审、安全编码规范、代码评审、SAST、SCA、DAST/IAST、渗透测试、发布门禁以及运行时监控。Microsoft SDL、OWASP SAMM、NIST SSDF 等框架定义了相应的实践与成熟度等级。其价值在于可预测地降低风险:漏洞在修复成本最低时被发现并修复,合规证据则作为日常工程工作的副产品自动产生。
示例
- 在产品组织中全面落地 Microsoft SDL 实践。
- 采用 OWASP SAMM 作为衡量 AppSec 进展的成熟度模型。
相关术语
应用安全(AppSec)
一门围绕软件全生命周期开展的学科,通过设计、构建、测试与运营,使软件能够抵御滥用、篡改和未授权访问。
DevSecOps
一种将安全责任融入 DevOps 流程的文化与实践,使团队能够持续、高效地交付安全的软件。
安全左移(Shift-Left Security)
把安全活动前移至软件生命周期的早期阶段,使漏洞在进入生产前就被发现并修复的实践。
威胁建模
一种结构化分析方法,识别系统的资产、威胁、漏洞与缓解措施,从而在设计阶段构建安全,而不是事后弥补。
Secure Coding
Secure Coding — definition coming soon.
Security Requirements
Security Requirements — definition coming soon.