第20章 软件开发安全

admin 2024年10月6日23:57:03评论14 views字数 1183阅读3分56秒阅读模式
大家好,我是 Mike Chapple,这是 CISSP 官方学习指南第 20 章学习要点的音频回顾。
以下是您需要从本章中了解的有关软件开发安全性的最重要的内容。
解释关系数据库管理系统的基本架构
了解关系数据库的结构,能够解释表、行和列的功能,知道如何定义表之间的关系以及各种类型键的作用,描述聚合和推理带来的数据库安全威胁,解释专家系统、机器学习和神经网络如何运作。
专家系统由两个核心组件组成:
知识库(包含一系列“如果”规则)和推理引擎(使用这些信息得出有关其他数据的结论)。
机器学习技术试图通过算法从数据集中发现知识。
神经网络通过安排一系列分层计算来解决问题,在一定程度上模拟了人类思维的功能。
神经网络需要对特定问题进行大量训练,然后才能提供解决方案。
了解系统开发模型。
了解瀑布模型描述的是开发成品的顺序开发过程,如果发现错误,开发人员可以只后退一个阶段。
螺旋模型使用瀑布模型的几次迭代来生成大量完全指定和测试过的原型。
敏捷开发模型强调客户的需求,并以迭代方式快速开发满足这些需求的新功能。
解释敏捷软件开发的 scrum 方法。
Scrum 是一种实施敏捷理念的有组织方法。
它依靠每日 scrum 会议来组织和审查工作。
开发侧重于交付成品的短跑活动。
集成产品团队或 IPT 是美国国防部采用的这种方法的早期尝试。
描述软件开发成熟度模型。
了解成熟度模型通过实施从临时混乱流程到成熟、规范的软件流程的演进路径,帮助软件组织提高其软件流程的成熟度和质量。
能够描述 SW-CMM、理想和 SAMM 模型。
理解变更配置管理的重要性。
了解变更管理流程的三个基本组成部分:请求控制、变更控制和发布控制,以及它们对安全性的贡献。
解释软件配置管理如何控制组织中使用的软件版本,了解变更的审计和记录如何减轻组织的风险,了解测试的重要性。
软件测试应作为开发过程的一部分进行设计。
测试应作为管理工具来改进设计、开发和生产过程。
解释 DevOps 和 DevSecOps 在现代企业中的作用。
DevOps 方法寻求通过采用自动化和团队之间的协作来整合软件开发和运营活动。
DevSecOps 方法通过将安全运营活动引入集成模型来扩展 DevOps 模型。
持续集成和交付 CICD 技术使 DevOps 和 DevSecOps 管道自动化。
了解不同编码工具在软件开发生态系统中的作用。
开发人员使用不同的编程语言编写代码,然后将其编译成机器语言或通过解释器执行。
开发人员可以利用软件开发工具集和集成开发环境来促进代码编写过程。
软件库创建共享和可重用的代码,而代码存储库为软件开发过程提供了管理平台。
解释所购软件对组织的影响。
组织可能会购买现成的商用 COTS 软件来满足其需求,也可能依赖免费的开源软件。
所有这些软件都会扩大潜在的攻击面,需要进行安全审查和测试。
这些是第 20 章软件开发安全需要了解的学习要点。

原文始发于微信公众号(晓说森林):第20章 软件开发安全

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月6日23:57:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   第20章 软件开发安全https://cn-sec.com/archives/3218182.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息