其实在我之前文章里面,也反复提到一些框架和模型,为什么要反复提网络安全框架和模型,在我的认知层面里,我觉得做任何事情,都需要遵循一定方法论和规则,当你不能成为第一个吃螃蟹的人,那就必须站在前人总结的基...
【软件安全设计】安全开发生命周期(SDL)
安全开发生命周期(SDL)是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。安全应用从安全设计开始,软件的安全问题很大一部分是由于不安全的设计而引入的,微软用多年的...
SDL(安全开发生命周期)
0x0 前言 最近在读《互联网企业安全高级指南》里面的一章SDL有感,结合工作经验之谈,遂写此文。 0x01 SDL概念 当我们谈到SDL(Security Development Lifecycle...
威胁建模从零到一
前言 在前面的【我所理解的研发安全】提到了在需求和设计阶段需要对业务功能场景进行威胁建模从而输出安全需求和安全设计内容。那么什么叫威胁建模,威胁建模会帮助业务项目如何在需求和设计阶段就能发现更多的安全...
建立安全运营中心(SOC)威胁建模
笔记: 同样重要的是要记住,这种方法不会立即突出整个系统中风险的出现。这只是将适当的日志源引入您的 SOC 系统,此时可以考虑系统范围的风险。有关识别系统范围风险的更多信息,请参阅检测。 需要注意的是...
确保移动出行的未来 - 汽车威胁建模
点击上方蓝色字体,关注我们/ 技术交流群 /添加微信15021948198,申请会员下载ppt & 加入汽车网络信息安全、测试评价、汽车电子、自动驾驶技术交流群、招聘求职群...
建立安全运营中心(SOC)导入系统和日志源
登录系统和日志源导入是 SOC 运营的关键部分,尤其是对于新 SOC 而言,对于已建立的 SOC 而言也是如此;没有任何 IT 资产会永远保持不变。导入是将系统添加到 SOC 范围的过程的名称。这意味...
敏捷开发中需要遵守的10条安全原则
竞争激烈的商业环境让各个组织不得不加快创新的速度,以保障自身在竞争中的优势,因此,有超过80%以上的组织采用了敏捷开发。然而,由于软件生命周期具备一定的风险,很多威胁行为者发现了敏捷开发中的漏洞,对企...
网络威胁建模的综合指南
在当今的数字环境中,网络安全是企业和个人最关心的问题。随着技术的发展,可能危及我们系统和数据安全的威胁也在不断发展。为了主动应对这些挑战,组织采用各种策略,其中最有效的方法之一是威胁建模。1.&nbs...
如何做好云渗透测试的威胁建模(下)
01云下威胁建模工具的重要性工欲善其事,必先利其器。威胁建模需要通过工具实现,才能把既定的安全管理思想实现,在云环境下的威胁识别,应结合新兴技术包括自动化、人工智能进行智能威胁建模。威胁建模包括识别潜...
如何做好云渗透测试的威胁建模(上)
NO.1威胁建模相关定义微软针对威胁建模(Threat modeling)的描述:威胁建模是帮助保护系统、应用程序、网络和服务的有效方法。这是一种工程技术,用于识别潜在的威胁和建议,以帮助降低风险并在...
【技术分享】企业建设DevSecOps流程梳理
近些年DevSecOps的推广不断深入、很多大厂也在推进或已经完成这类标准化的升级。本人在实施过程中,读了很多文章、看了很多乙方厂商的实施方案,最终准备以自己的角度来将一下DevSecOp...
4