5. 经常复习和测试
您应该有一个严格的验证制度,该制度使用多种方法,例如测试和同行评审。这有助于您发现缺陷并确保安全性在实践中发挥作用。它还会告诉您产品是否实现了其最终目标。验证过程不应妨碍交付,并应尽可能自动化。
防御措施示例
·应建立全面的验证制度,用于定位缺陷并确定是否满足每个产品要求。这应该涉及静态验证(例如个人和同行评审,静态代码分析和形式验证)和动态验证(所有形式的测试)。
·应通过创建一致、结构良好且易于理解的产品开发工件,使验证尽可能容易。这应包括设计文档、模型和源代码。遵守简单和明确的程序应该有助于该过程顺利进行。
·应优化核查活动的地点、独立性、覆盖面、频率和可重复性。自动化可以极大地支持这一点,也可以提高效率。
·验证应该是一个在产品开发和发布后执行的持续过程(以确保产品在其整个生命周期内保持安全)。应经常审查其组成活动的具体内容及其覆盖面,并酌情予以更新。例如,测试套件的内容或同行评审期间查找的内容应保持最新并定期执行(测试运行、执行的评审等),以便它们抵御最新威胁。
·当发现缺陷时,应及时解决。应分析根本原因,以确定它们是否是地方病,并确保将来避免类似的错误。
-
>>>等级保护<<< -
开启等级保护之路:GB 17859网络安全等级保护上位标准 -
回看等级保护:重要政策规范性文件43号文(上) -
网络安全等级保护:第三级网络安全设计技术要求整理汇总 -
网络安全等级保护:等级测评中的渗透测试应该如何做 -
网络安全等级保护:等级保护测评过程及各方责任 -
网络安全等级保护:政务计算机终端核心配置规范思维导图 -
网络安全等级保护:什么是等级保护? -
网络安全等级保护:信息技术服务过程一般要求 -
闲话等级保护:网络安全等级保护基础标准(等保十大标准)下载 -
闲话等级保护:什么是网络安全等级保护工作的内涵? -
闲话等级保护:网络产品和服务安全通用要求之基本级安全通用要求 -
闲话等级保护:测评师能力要求思维导图 -
闲话等级保护:应急响应计划规范思维导图 -
闲话等级保护:浅谈应急响应与保障 -
闲话等级保护:如何做好网络总体安全规划 -
闲话等级保护:如何做好网络安全设计与实施 -
闲话等级保护:要做好网络安全运行与维护 -
闲话等级保护:人员离岗管理的参考实践 -
>>>工控安全<<< -
工业控制系统安全:信息安全防护指南 -
工业控制系统安全:工控系统信息安全分级规范思维导图 -
工业控制系统安全:DCS防护要求思维导图 -
工业控制系统安全:DCS管理要求思维导图 -
工业控制系统安全:DCS评估指南思维导图 -
工业控制安全:工业控制系统风险评估实施指南思维导图 -
工业控制系统安全:安全检查指南思维导图(内附下载链接) -
工业控制系统安全:DCS风险与脆弱性检测要求思维导图 -
>>>数据安全<<< -
>>>供应链安全<<<
-
供应链安全指南:建立基础,持续改进。 -
英国的供应链网络安全评估 -
>>>其他<<<
-
网络安全知识:什么是AAA(认证、授权和记账)?
原文始发于微信公众号(祺印说信安):英国技术保障指南之原则:产品开发-经常复习和测试
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论