0x0 前言 最近在读《互联网企业安全高级指南》里面的一章SDL有感,结合工作经验之谈,遂写此文。 0x01 SDL概念 当我们谈到SDL(Security Development Lifecycle...
我所理解的研发安全
最近与朋友聊起SDL和DevSecOps的建设和落地,觉得可以将我理解的SDL体系建设来整理下,分享给大家,一家之言,欢迎大家与我讨论!一、前言 上次写了《蓝军建设的一些不成熟的思考》,当时...
浅谈企业级SDLC的建设与思考
--------------------------------------------------------------- 本文题干阅读时间推荐15min,思考时间:若干 ------------...
使用树莓派+RTL-SDR+3.5寸显示屏打造便携式RTL-SDR频率扫描仪
01先上成品02你需要一台树莓派一张3.5 inch的显示屏一块SDR接收器你聪明的大脑需要 3.5 inch 屏幕镜像的可以找我,直接刷官网镜像开机后分辨率会怪怪的(大概)03正式开始刷好后记得联网...
甲方安全建设——SDL团队管理章程与SDL从业者自我修养
0x01 前言这篇文章既是写给甲方SDL团队管理者,也是写给所有甲方SDL从业者。打铁还需自身硬,想要在企业中将安全建设好,首先要从安全团队内部出发。一个有战斗力的安全团队,是一切的基础。笔者刚刚负责...
SDL实践分享丨FreeBuf甲方私享会深圳站回顾
何为SDL?作为由微软提出的一种软件安全开发周期,其核心是利用一定方法、工具、流程,将安全集成在软件开发的每一个阶段,进而期待实现降低安全成本,保护企业和用户资本安全的目标。可见,相较于过去传统偏集中...
【SDL实践指南】Foritify规则介绍
文章前言Fortify静态代码分析器提供了一组用于检测源代码中的潜在安全漏洞的分析器,当对项目进行分析时Fortify静态代码分析器需要无错误完成对所有相关源代码的翻译工作,Fortify静态代码分析...
【SDL实践指南】Foritify终端使用
文章前言本篇文章我们主要介绍如何使用Foritify终端对项目工程进行安全扫描工程扫描Step 1:进入Foritify安装根目录下的bin目录Step 2:清理上一次扫描的缓存#格式说明source...
【SDL实践指南】STRIDE威胁建模
基本介绍STRIDE威胁建模是由微软提出的一种威胁建模方法,将威胁类型分为Spoofing(仿冒)、Tampering(篡改)、Repudiation(抵赖)、Information Disclosu...
【SDL实践指南】微软威胁建模工具
文章前言威胁建模(Threat Modeling)是一个不断循环的动态模型,它可以帮助企业确定对应用程序造成影响的威胁、攻击、漏洞和对策,企业可以使用威胁建模来形成应用程序的设计、实现企业的安全目标以...
【SDL实践指南】产品安全质量衡量
文章前言软件产品在完成研发后不仅要对业务功能进行功能测试来评判其是否符合需求方的实际需求,同时也需要对产品进行安全测试来检测产品整体的安全性,在SDL流程中产品要想达到发版标准不仅需要满足产品经理和项...
【SDL实践指南】安全需求收集整理
基本介绍在软件开发的生命周期中需求收集和需求分析占据着很重要的地位,产品经理需要确保通过多种渠道收集和汇总后的产品需求的完善程度,同时也需要在需求分析阶段结合产品功能特性、自身从业经验等多方面筛选有价...
7