大家好,我是 Mike Chapple,这是 CISSP 官方学习指南第 20 章学习要点的音频回顾。
以下是您需要从本章中了解的有关软件开发安全性的最重要的内容。
了解关系数据库的结构,能够解释表、行和列的功能,知道如何定义表之间的关系以及各种类型键的作用,描述聚合和推理带来的数据库安全威胁,解释专家系统、机器学习和神经网络如何运作。
知识库(包含一系列“如果”规则)和推理引擎(使用这些信息得出有关其他数据的结论)。
神经网络通过安排一系列分层计算来解决问题,在一定程度上模拟了人类思维的功能。
神经网络需要对特定问题进行大量训练,然后才能提供解决方案。
了解瀑布模型描述的是开发成品的顺序开发过程,如果发现错误,开发人员可以只后退一个阶段。
螺旋模型使用瀑布模型的几次迭代来生成大量完全指定和测试过的原型。
敏捷开发模型强调客户的需求,并以迭代方式快速开发满足这些需求的新功能。
集成产品团队或 IPT 是美国国防部采用的这种方法的早期尝试。
了解成熟度模型通过实施从临时混乱流程到成熟、规范的软件流程的演进路径,帮助软件组织提高其软件流程的成熟度和质量。
了解变更管理流程的三个基本组成部分:请求控制、变更控制和发布控制,以及它们对安全性的贡献。
解释软件配置管理如何控制组织中使用的软件版本,了解变更的审计和记录如何减轻组织的风险,了解测试的重要性。
解释 DevOps 和 DevSecOps 在现代企业中的作用。
DevOps 方法寻求通过采用自动化和团队之间的协作来整合软件开发和运营活动。
DevSecOps 方法通过将安全运营活动引入集成模型来扩展 DevOps 模型。
持续集成和交付 CICD 技术使 DevOps 和 DevSecOps 管道自动化。
开发人员使用不同的编程语言编写代码,然后将其编译成机器语言或通过解释器执行。
开发人员可以利用软件开发工具集和集成开发环境来促进代码编写过程。
软件库创建共享和可重用的代码,而代码存储库为软件开发过程提供了管理平台。
组织可能会购买现成的商用 COTS 软件来满足其需求,也可能依赖免费的开源软件。
所有这些软件都会扩大潜在的攻击面,需要进行安全审查和测试。
这些是第 20 章软件开发安全需要了解的学习要点。
原文始发于微信公众号(晓说森林):第20章 软件开发安全
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3218182.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论