0x01 S-SDLC簡介

OWASP Secure Software Development Lifecycle Project(S-SDLC)是OWASP組織首個由OWASP中國團隊獨立釋出並主導的研究專案，並在全球範圍內正式釋出。S-SDLC被越來越多的企業所重視，紛紛開始實施。

S-SDLC是安全軟體開發生命週期，是一套完整的，面向Web和APP開發廠商的安全工程方法。幫助軟體企業降低安全問些，提升軟體安全質量。S-SDLC的理念來源於微軟SDL，最終目標是幫助使用者減少安全問題，並使用該方法從每個階段提高總體安全級別。

0x02 專案描述及目標

S-SDLC定義了安全軟體開發的流程，以及各個階段需要進行的安全活動，包括活動指南，工具、模板等，主要包括：
 

培訓：提供安全培訓體系，包含安全意識培訓，安全基礎知識培訓，安全開發生命週期流程培訓和安全專業知識培訓；
需求階段：如何對軟體產品的風險進行評估，建立基本的安全需求
設計階段：提供安全方案設計及威脅建模
實現階段：提供主流程式語言的安全編碼規範，安全函式庫以及程式碼審計方法
測試階段：基於威脅建模的測試設計，Fuzzing測試，滲透測試
釋出/維護階段：建立漏洞管理體系

專案目標：
（1）制定面向Web和APP開發企業的安全開發流程
制定動態的安全開發流程，對安全活動及活動要求進行分級，不同型別的軟體，可以根據產品的風險及可用的投入資源來確定開發過程中要執行的安全活動，明確活動的輸入，輸出，執行者及依賴關係；
（2）制定及開發安全基礎培訓課程
制定安全培訓體系，確定不同的角色需要接受的培訓內容及培訓的週期；開發基礎性的培訓課程；
（3）根據實踐經驗，輸出各個安全活動的方法指導及模板，主要的安全活動有：安全風險評估、設計Review、威脅建模、基於威脅建模的測試
（4）制定WEB應用/移動應用安全設計指南
（5）制定安全編碼（C/C++、JAVA、PHP，C#）
（6）將OWASP現有專案，如開發指南、測試指南融合到軟體全開發體系中；
 

0x03 S-SDLC實踐

不少廠商為滿足企業軟體安全開發的需求，推出了S-SDLC安全諮詢，推出了基於“平臺+工具+服務”的一體化解決方案。

SecZone S-SDLC解決方案V2.0全景圖：

[圖片來源於： http://www.seczone.cn/2018/08/01/s-sdlc%E8%A7%A3%E5%86%B3%E6%96%B9%E6%A1%88v2-0/]

1、安全培訓

根據行業企業實際需求，定製安全培訓

2、安全需求

在專案需求分析階段引入安全需求，使系統具備一定的安全功能而提高系統安全性是此階段安全活動的目標。本階段的安全需求由業務需求提出方提出，研發團隊和安全團隊共同參與完成安全需求分析。

安全人員需要從業務的角度思考安全風險，然後通過自身豐富的安全攻防經驗，更好的挖掘和規避安全風險問題，形成安全需求清單。

3、安全設計

在設計階段階段，仔細考慮系統的安全設計和使用者隱私問題。

4、安全開發

定製開發者的開發規範，並將安全技術方案開發規範中讓安全方案實際落地，便於開發者寫出安全的程式碼。

4、安全測試

基於《Owasp Testing Guide v4》測試框架，構建WEB應用安全測試規範，輸出滲透測試報告。

5、安全部署/運維

漏洞、補丁安全事件管理

安全基線，對作業系統、資料庫、中介軟體制定安全加固規範

最後

歡迎關注個人微信公眾號：Bypass--，每週原創一篇技術乾貨。