文章前言众多频发的网络安全事件表明当下很多的安全问题都是由于产品自身的代码业务逻辑判断不严谨、输入校验不严格、身份校验缺失、异常处理不合理、访问控制缺失以及不安全的配置等众多的因素引起的,而导致这样的...
【SDL实践指南】SDL基本介绍
文章前言传统的软件开发生命周期关注核心点在于需求分析、需求设计和需求编码实现,但是事实证明只注重软件业务功能设计实现而缺乏对产品安全考量的产品终将会为此而付出惨痛的代价,例如:因为缺乏对安全相关法律法...
甲方安全建设初探
“ 近期想起自己还有一个公众号已经好久没有运营了,看到上一篇文章的时间还是2022年2月,那时还在和网安的几位兄弟一起学习,在学校里组建团队,一起交流探讨,转眼间已经各奔东西了。这一年来,从...
软件供应链安全风险
软件供应链安全风险介绍软件供应链本身就是软件的生产过程,始终贯穿于软件研发生命周期(SDL)当中。在软件系统研发过程当中,时刻面临着有意或者无意引入漏洞的威胁。阶段案例需求设计手机被劫持:2016年,...
九维团队-紫队(优化)| 紫队剧本: 安全测试的威胁建模(三)
写在前边1. 本文原文为Felisha Mouchous于2020年发表的《Purple Team Playbook: Threat Modeling for Security Testing》,本文...
供应链安全,怎样在关键时刻不掉链子?
全文共2681字,阅读大约需5分钟。一概述软件技术飞速发展,软件开发手段不断进步,开源、云原生等技术被广泛应用。软件供应链在趋于多元化发展的同时,一方面加速了技术的革新和升级,同时也催化出一种新型的安...
SDL面试闲谈
安全不是每个行业都需要的东西,虽然有法律,但是公司都活不下去还要什么安全?能有SDL的全国也没多少公司。国家还在宣传安全行业缺口大。是,你他妈的用cobra的正则去扫漏洞,一个公司一个应用安全能提供1...
浅谈软件安全开发
背景安全性在软件开发过程中是一个极其重要和深刻的话题。当安全性受到损害时,会发生非常糟糕的事情。我们在软件开发生命周期的各个阶段都必须...
专栏特辑 | 开发安全铁三角纵横谈(四)
开发安全铁三角为了能更好地理解今天所讲,请大家先回顾一下之前“开发安全铁三角纵横谈”内容:专栏特辑 | 开发安全铁三角纵横谈(三)# 安全需求分析 #确定完分工后,咱们开始研究安全需求分析。安全需求分...
专栏特辑 | 开发安全铁三角纵横谈(二)
开发安全铁三角为了能更好地理解今天所讲,请大家先回顾一下上篇“开发安全铁三角纵横谈”内容:专栏特辑 | 开发安全铁三角纵横谈(一)。现在,我们要开始一次立“规矩“的旅程。(1) 确定分工的平衡尺度一个...
NIS空间/Web安全SDL开发
SNISA关注SNISA,共享信安事。NIS空间/第一期技术沙龙 本期主题:Web安全SDL开发NIS空间是由深圳市网络与信息安全行业协会打造的业内技术人员交流平台,为信安工作者提供高质量技...
软件安全开发最佳实践之安全开发模型篇
点击蓝字关注我们一直想把自己对软件安全开发生命周期的理解写成文章跟大家交流,迫于不擅长写作,无法将自己的想法码成文字,就一次次的放弃了。本次借助A9 Team平台第一次尝试一下。前言软件安全开发是一种...
7