《03_在互联网公司推行SDL的一些经验和教训_二零一六0626》.pdf

在互联网公司推行SDL 在互联网公司推行SDL 日 期：2010年6月25 日 日 期：2010年6月25 日 汇报人：张玉东 汇报人：张玉东 邮 箱：huangmei@ 邮 箱：huangmei@ 1 什么是SDL 什么是SDL • SDL –Security Development Lifecycle 培训 需求分析 设计 实现 验证 发布 响应 培训 需求分析 设计 实现 验证 发布 响应 线上扫描 开发框架 上线确认 线上扫描 开发框架 上线确认 Fuzzing 攻击面 Fuzzing 线上监控 攻击面 线上监控 针对性培训 风险评估 编码规范 遗留问题 针对性培训 风险评估 编码规范 遗留问题 漏洞处理 分析 代码评审 漏洞处理 分析 代码评审 代码扫描 信息记录 代码扫描 信息记录 应急响应 应急响应 2 今天讲什么？ 今天讲什么？ • 与传统软件行业的SDL有何区别 • 为什么需要SDL • 威胁建模 • 推行SDL有什么困难和挑战 • 一些经验 3 与传统软件行业的SDL有何区别 与传统软件行业的SDL有何区别 • 项目小所以开发周期短 • 产品上线更频繁 • 威胁模型需要基于整个互联网去考虑 – 网络安全