网络安全知识：什么是软件开发生命周期？

SDLC 是用于开发和维护软件系统的一系列步骤。但它不仅限于创作；它也可以在更改现有软件时使用。

它提供了一个框架，确保软件以结构化和有组织的方式开发，重点关注可靠性和提高质量。利用 SDLC 有助于确保软件满足用户和利益相关者的需求，并在预算范围内按时交付。

SDLC 有哪些阶段？

虽然重要的是要记住，各个阶段可能会因团队而异，但七个步骤是任何软件开发生命周期的基础。

1. 规划

2. 需求分析

3. 设计

4. 执行

5. 测试与调试

6. 部署

7. 维护

规划

项目计划通常包括：

• 目标

• 目标

• 范围

• 必要的资源

• 潜在风险

• 缓解策略

根据这些信息，开发团队可以确定时间表、预算和关键可交付成果列表。该计划将作为项目其余部分的基础，并帮助团队在后期阶段保持专注并步入正轨。通常，软件需求规格文档是为需求分析阶段创建的。 

需求分析

在此阶段，项目团队致力于了解正在开发的软件要满足的需求和要求。这可能涉及：

• 进行用户研究。

• 收集并记录要求。

• 开发软件的高级设计。

这些任务是通过与股东、客户和业务分析师的讨论来完成的。结果将指导详细设计阶段。 

设计

这是设计软件架构、用户界面和数据模型的地方。此阶段还包括创建技术规范并确定构建软件所需的组件和模块。 

执行

在此阶段，软件开发人员根据设计和技术规范构建软件。它通常涉及：

• 编写代码。

• 创建并配置开发环境。

• 将不同的组件和模块集成到整个系统中。 

测试与调试

项目团队测试软件以确保其满足先前发现的需求和要求并且没有错误。此测试阶段通常涉及软件性能、安全性和可靠性的手动和自动测试。

作为此阶段的一部分，软件要接受多项测试，包括评估代码质量、进行单元测试和集成测试以及确保安全性。 

部署

团队将软件部署到生产环境，真正的用户将在生产环境中使用它。这通常涉及创建和执行部署计划，该计划概述了安装和配置软件的步骤和过程。此阶段可能涉及在用户的计算机或设备上安装软件或通过基于网络的平台提供该软件。 

维护

该团队在部署后继续支持和维护软件。这个过程可能涉及：

• 修复发现的任何错误或缺陷。

• 添加新特性或功能。

• 为用户提供技术支持。

这些步骤并不总是按线性顺序执行，并且各个步骤可能在整个项目中重复多次。不同的软件开发方法论的 SDLC 版本略有不同，每个阶段的名称不同，甚至完全不同的步骤。

SDLC有哪些优势？

如前所述，软件开发生命周期有助于提高开发过程的效率、可靠性和有效性。

更具体地说，SDLC：

• 提供结构化且有组织的软件开发方法，有助于确保流程的一致性和可预测性。

• 帮助识别和评估潜在风险。

• 帮助制定缓解策略。

• 帮助确保软件满足用户的需求和要求。

• 为团队成员之间的沟通和协作提供框架。

• 帮助确保按时且在预算范围内交付。

• 有助于确保软件高质量且无缺陷。

• 为持续维护和支持提供基础。

SDLC 面临哪些挑战？

组织可能会遇到以下问题：

• 时间和成本，特别是如果开发方法的灵活性或迭代空间为零。

• 适应不断变化的需求或业务需求是很困难的，特别是如果软件开发方法不敏捷的话。

• 管理和协调大型且多样化的项目团队的工作。

• 确定项目所需的文档和报告级别。

• 确定特定项目的软件开发方法。

• 确保软件的开发方式符合行业标准和最佳实践。

什么是软件开发生命周期最佳实践？

• 为项目制定清晰详细的计划，包括目的和目标、时间表以及所需的资源。

• 识别和评估潜在风险，并制定缓解策略。

• 收集并记录详细的用户需求，并确保软件满足这些需求。

• 使用允许灵活性和迭代的敏捷软件开发方法。

• 与项目团队和利益相关者进行有效的沟通和协作。

• 使用自动化和测试工具来提高软件开发过程的效率和可靠性。

• 监控和跟踪项目的进度，并根据需要调整计划。

• 遵循软件开发的行业标准和最佳实践。

通过遵循 SDLC 的七个阶段并应用最佳实践，组织可以改善团队成员之间的协作，降低错误和遗漏的风险，并提高产品的整体质量。

>>>错与罚<<<

湖南网安适用《数据安全法》对多个单位作出行政处罚

由上海政务系统数据泄露引发的一点点感慨

个人信息保护不当，宁夏6家物业公司被处罚

网络安全保护不是儿戏，违法违规必被查处

罚款8万！某科技公司因数据泄漏被依法处罚

近2万条学员信息泄露！该抓的抓，该罚的罚！

信息系统被入侵，单位主体也得担责！

警方打掉通过木马控制超1400万部“老年机”自动扣费的犯罪团伙

张家界警方全链条团灭非法侵入1600余台计算机系统终端案！

警方提醒！多名百万网红被抓，54人落网！

不履行数据安全保护义务，这些公司企业被罚！

“一案双查”！网络设备产品服务商这项义务要履行！

>>>等级保护<<<

开启等级保护之路：GB 17859网络安全等级保护上位标准

网络安全等级保护：什么是等级保护？

网络安全等级保护：等级保护工作从定级到备案

网络安全等级保护：等级测评中的渗透测试应该如何做

网络安全等级保护：等级保护测评过程及各方责任

网络安全等级保护：政务计算机终端核心配置规范思维导图

网络安全等级保护：信息技术服务过程一般要求

网络安全等级保护：浅谈物理位置选择测评项

闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载

闲话等级保护：什么是网络安全等级保护工作的内涵？

闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求

闲话等级保护：测评师能力要求思维导图

闲话等级保护：应急响应计划规范思维导图

闲话等级保护：浅谈应急响应与保障

闲话等级保护：如何做好网络总体安全规划

闲话等级保护：如何做好网络安全设计与实施

闲话等级保护：要做好网络安全运行与维护

闲话等级保护：人员离岗管理的参考实践

信息安全服务与信息系统生命周期的对应关系

>>>工控安全<<<

工业控制系统安全：信息安全防护指南

工业控制系统安全：工控系统信息安全分级规范思维导图

工业控制系统安全：DCS防护要求思维导图

工业控制系统安全：DCS管理要求思维导图

工业控制系统安全：DCS评估指南思维导图

工业控制安全：工业控制系统风险评估实施指南思维导图

工业控制系统安全：安全检查指南思维导图（内附下载链接）

业控制系统安全：DCS风险与脆弱性检测要求思维导图

>>>数据安全<<<

数据治理和数据安全

数据安全风险评估清单

成功执行数据安全风险评估的3个步骤

美国关键信息基础设施数据泄露的成本

备份：网络和数据安全的最后一道防线

数据安全：数据安全能力成熟度模型

数据安全知识：什么是数据保护以及数据保护为何重要？

信息安全技术：健康医疗数据安全指南思维导图

金融数据安全：数据安全分级指南思维导图

金融数据安全：数据生命周期安全规范思维导图

什么是数据安全态势管理 (DSPM)？

>>>供应链安全<<<

美国政府为客户发布软件供应链安全指南

OpenSSF 采用微软内置的供应链安全框架

供应链安全指南：了解组织为何应关注供应链网络安全

供应链安全指南：确定组织中的关键参与者和评估风险

供应链安全指南：了解关心的内容并确定其优先级

供应链安全指南：为方法创建关键组件

供应链安全指南：将方法整合到现有供应商合同中

供应链安全指南：将方法应用于新的供应商关系

供应链安全指南：建立基础，持续改进。

思维导图：ICT供应链安全风险管理指南思维导图

英国的供应链网络安全评估

>>>其他<<<

网络安全十大安全漏洞

网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图

网络安全等级保护：应急响应计划规范思维导图

安全从组织内部人员开始

VMware 发布9.8分高危漏洞补丁

影响2022 年网络安全的五个故事

2023年的4大网络风险以及如何应对

网络安全知识：物流业的网络安全

网络安全知识：什么是AAA（认证、授权和记账）？

美国白宫发布国家网络安全战略

开源代码带来的 10 大安全和运营风险

不能放松警惕的勒索软件攻击

10种防网络钓鱼攻击的方法

5年后的IT职业可能会是什么样子？

累不死的IT加班人：网络安全倦怠可以预防吗？

网络风险评估是什么以及为什么需要

美国关于乌克兰战争计划的秘密文件泄露

五角大楼调查乌克兰绝密文件泄露事件

如何减少制造攻击面的暴露

来自不安全的经济、网络犯罪和内部威胁三重威胁

2023 年OWASP Top 10 API 安全风险

什么是渗透测试，能防止数据泄露吗？

SSH 与 Telnet 有何不同？

管理组织内使用的“未知资产”：影子IT

最新更新：全国网络安全等级测评与检测评估机构目录（9月15日更新）

原文始发于微信公众号（祺印说信安）：网络安全知识：什么是软件开发生命周期？