【QCon】精华内容上线92%,全面覆盖“人工智能+”的典型案例!>>> 了解详情
写点什么

使用 CMMI-DEV 模型进行安全的设计

  • 2013-12-06
  • 本文字数:842 字

    阅读完需:约 3 分钟

为了达到开发高安全性产品的目的,软件开发生命周期所涉及到的流程必须包含安全性方面的行为。在 2013 年 SEPG 欧洲大会上,西门子的 Winfried Russwurm 以及 Limes Security 公司的 Peter Panholzer 高呼:“我们必须从最初阶段就将软件的安全性考虑进去,我们必须基于软件设计开发产品”。在会上,他们举办了一个关于探索软件安全性的研讨会,同时还提出了关于开发高安全性产品改进流程的指导手册。(译注:SEPG 为软件工程流程组织的缩写,Software Engineering Process Group)

Winfried 和 Peter 向与会者呼吁,针对软件的安全性我们必须有专门的软件开发活动以创造出更安全的软件产品。他们将与会者提出的意见归纳为以下几个方面:

组织架构方面: - 安排专职的安全专家

  • 增进软件安全意识并且打造安全性的企业文化
  • 提供关于安全方面的培训
  • 建立并实行安全性的策略

需求方面: - 在项目利益相关者中引入“黑客”

  • 进行安全风险分析
  • 定义安全性需求,比如:关于安全性的用户用例或场景

架构方面: - 在接口设计方面注重考虑安全风险

  • 落实关于安全性的架构规则及纲领
  • 对于软件安全性寻找并应用行之有效的架构

实施方面: - 为软件安全性应用编程准则

  • 使用工具来检验代码安全性

测试方面: - 计划并进行软件安全性测试

  • 使用工具来进行自动化的软件安全性测试

开发生命周期: - 进行软件安全性评审及验证

  • 辨别风险来源、分类并进行风险评估
  • 学习其他公司及社区做得好的方面
  • 建立关于如何处理安全性问题的社会媒体政策

今年早些时候,CMMI Institute 发布了关于开发高安全性产品改进流程的指导手册。这份指导手册对软件安全性的3 个方面给出了更详细的流程说明。这3 个方面包括:软件工程的安全性方面、软件项目的安全性管理以及组织中的安全性话题。我们可以运用这份指导手册以及能力成熟度CMMI-DEV 模型为我们的客户提供更可靠的软件安全保障。

指导手册的作者们以及 CMMI Institute 都期望能够听到来自读者的声音、获得来自运用这份指导手册的机构的反馈。

查看英文原文: Applying Security by Design with the CMMI for Development

2013-12-06 00:131082

评论

发布
暂无评论
发现更多内容

小步发布、验收测试和完整团队

Teobler

项目管理 敏捷 敏捷开发 工程实践 敏捷开发管理

1.2 Go语言从入门到精通:编写第一个Go程序

xcbeyond

28天写作 Go 语言

基于WASM的无侵入式全链路A/B Test实践

韩陆

又长又细,万字长文带你解读Redisson分布式锁的源码

数据库 redis 架构

备战金三银四,阿里,腾讯春招面试题解析,含Java岗988道题分享

Java 架构 面试

28天瞎写的第二百四十四天:冥想的种类

树上

冥想 28天写作 正念

【科技改变生活,区块链改变世界】欧科云链徐明星的区块链密码朋克世界

CECBC

区块链

敏捷技术实践之TDD

Teobler

敏捷 敏捷开发 TDD 极限编程 测试驱动开发

爬虫知识记录之一

头号摄影师

爬虫

视频号直播和 PageRank 算法 [待完善]

小匚

机器学习

使用 Tye 辅助开发 k8s 应用竟如此简单(六)

newbe36524

Docker Kubernetes 微服务 dotnet

Elasticsearch 一个 field 两个索引

escray

elastic 七日更 28天写作 死磕Elasticsearch 60天通过Elastic认证考试 2月春节不断更

“定义”

Nydia

首全网发!2021最新版美团面经刷题笔记,已霸榜GitHub

比伯

Java 编程 架构 面试 程序人生

微信小程序开发笔记(一)

陈飞

小程序

让听见炮火的人来做决策,做决策的要好好听听炮火

数列科技杨德华

28天写作

为您收录的操作系统系列 - 线程小常识

鲁米

线程

“他者”德意志(一):“进窄门”的德国AI

脑极体

一名叫谙忆的程序员在2021年的具体安排《打工人的那些事》

谙忆

产业数字金融的数字化与生态化

CECBC

金融

敏捷业务实践之计划游戏

Teobler

项目管理 敏捷 敏捷开发 敏捷开发管理

山东区块链赋能农产品溯源平台解决方案

源中瑞-龙先生

关于个人认知的一些碎碎念「Day 6」

道伟

心理学 认知 28天写作

【Python】关于 Type Hints 你应该知道这些

zhujun

Python

区块链技术在各国政府管理中的运用

CECBC

区块链

滴滴开源 LogicFlow:专注流程可视化的前端框架

滴滴技术

敏捷团队实践

Teobler

项目管理 敏捷 敏捷开发 工程实践 敏捷开发管理

泰康和百度智能云为何相互需要?

吴俊宇

百度 保险数字化 泰康

我凭借这份“2021全网最全Java面试清单”彻底征服阿里面试官

比伯

Java 编程 程序员 架构 面试

基于SpringBoot实现文件的上传下载

Java鱼仔

springboot

Selenium 自动化前的补充知识,Frame操作、多窗口切换、模糊定位、复合定位

梦想橡皮擦

Python 28天写作 2月春节不断更

使用CMMI-DEV模型进行安全的设计_安全_Ben Linders_InfoQ精选文章