采用安全的软件生命周期

这个知识领域提供了无数可能的做法，组织可以将其纳入其安全软件生命周期。其中一些做法，例如第2节中讨论的做法，可能适用于任何产品。其他做法是特定于领域的，例如第3节中讨论的那些。

采用新实践的组织通常喜欢学习和采用与自己类似的组织使用的实践。在选择将哪些安全实践包含在安全软件生命周期中时，组织可以考虑查看最新的BSIMM结果，这些结果提供有关行业采用实践的最新信息。

讨论

本章概述了三个突出的规范性安全软件生命周期过程，以及这些过程的六个改编，这些过程可以应用于指定领域。然而，在威胁、漏洞、工具和实践方面的网络安全格局在不断发展。例如，在这九个过程中没有提到过的做法是使用漏洞赏金程序进行识别和解决的漏洞。通过漏洞赏金计划，组织补偿个人和/或研究人员发现和报告漏洞。这些人是生产软件的组织外部的，可以独立工作，也可以通过漏洞赏金组织（如HackerOne42）工作。

虽然该知识领域的大部分都集中在技术实践上，但成功采用这些实践涉及组织中的组织和文化变革。从执行领导开始，组织必须支持使用安全开发生命周期所需的额外培训、资源和步骤。此外，每个开发人员都必须承担起参与此类过程的责任。

团队和组织需要选择适当的软件安全实践，以根据团队和技术特征以及产品的安全风险来开发定制的安全软件生命周期。

虽然本章提供了开发安全产品的实践，但安全信息通常是由于经济上的抑制因素，这促使软件组织选择快速部署和发布功能而不是生产安全产品。因此，越来越多的政府和行业团体正在对组织实施网络安全标准，作为法律合规性问题或被视为供应商的条件。合规性要求可能会导致更快地采用安全开发生命周期。但是，这种由合规性驱动的采用可能会过度关注合规性要求，而不是务实地预防和检测风险最大的安全问题，从而转移对实际安全问题的注意力。

原文始发于微信公众号（河南等级保护测评）：安全软件生命周期之采用安全的软件生命周期