写点什么

使用 CMMI-DEV 模型进行安全的设计

  • 2013-12-06
  • 本文字数:842 字

    阅读完需:约 3 分钟

为了达到开发高安全性产品的目的,软件开发生命周期所涉及到的流程必须包含安全性方面的行为。在 2013 年 SEPG 欧洲大会上,西门子的 Winfried Russwurm 以及 Limes Security 公司的 Peter Panholzer 高呼:“我们必须从最初阶段就将软件的安全性考虑进去,我们必须基于软件设计开发产品”。在会上,他们举办了一个关于探索软件安全性的研讨会,同时还提出了关于开发高安全性产品改进流程的指导手册。(译注:SEPG 为软件工程流程组织的缩写,Software Engineering Process Group)

Winfried 和 Peter 向与会者呼吁,针对软件的安全性我们必须有专门的软件开发活动以创造出更安全的软件产品。他们将与会者提出的意见归纳为以下几个方面:

组织架构方面: - 安排专职的安全专家

  • 增进软件安全意识并且打造安全性的企业文化
  • 提供关于安全方面的培训
  • 建立并实行安全性的策略

需求方面: - 在项目利益相关者中引入“黑客”

  • 进行安全风险分析
  • 定义安全性需求,比如:关于安全性的用户用例或场景

架构方面: - 在接口设计方面注重考虑安全风险

  • 落实关于安全性的架构规则及纲领
  • 对于软件安全性寻找并应用行之有效的架构

实施方面: - 为软件安全性应用编程准则

  • 使用工具来检验代码安全性

测试方面: - 计划并进行软件安全性测试

  • 使用工具来进行自动化的软件安全性测试

开发生命周期: - 进行软件安全性评审及验证

  • 辨别风险来源、分类并进行风险评估
  • 学习其他公司及社区做得好的方面
  • 建立关于如何处理安全性问题的社会媒体政策

今年早些时候,CMMI Institute 发布了关于开发高安全性产品改进流程的指导手册。这份指导手册对软件安全性的3 个方面给出了更详细的流程说明。这3 个方面包括:软件工程的安全性方面、软件项目的安全性管理以及组织中的安全性话题。我们可以运用这份指导手册以及能力成熟度CMMI-DEV 模型为我们的客户提供更可靠的软件安全保障。

指导手册的作者们以及 CMMI Institute 都期望能够听到来自读者的声音、获得来自运用这份指导手册的机构的反馈。

查看英文原文: Applying Security by Design with the CMMI for Development

2013-12-06 00:131499

评论

发布
暂无评论
发现更多内容

云原生(四) | Docker篇之网络和存储原理

Lansonli

Docker 云原生

普通二本院校如何从所谓的从寒冬破冰?

KEY.L

7月月更

Istio整体架构解析

阿泽🧸

istio 7月月更

聊聊 API 管理-开源版 Yapi 到 SaaS 版 Apifox

Liam

6. 对象存储

MASA技术团队

C# .net 对象存储 框架 Framework

长安链研究笔记-证书生成工具

长安链

小程序遇上Flutter 3.0

Geek_99967b

flutter 小程序

React Table 表格组件使用教程 排序、分页、搜索过滤筛选功能实战开发

蒋川

排序 React 表格 组件库

什么是hpaPaaS平台?低代码和hpaPaaS是什么关系?

优秀

低代码

阿里云架构师马继雨:云超算解决方案全面助力生命科学行业普惠增效

阿里云弹性计算

高性能计算 生命科学 EHPC

避坑:@Around与@Transactional混用导致事务不回滚

Paul

Spring Boot 2 事务失效 spring aop Java’

WebRTC 音频抗弱网技术(下)

融云 RongCloud

3DCAT投屏功能升级,助力企业营销与培训

3DCAT实时渲染

虚拟仿真 实时云渲染 3DCAT 企业营销 实时渲染云

使用 doscify 将文章写成文档一般丝滑

宁在春

GitHub Pages docsify 7月月更

设计稳定的微服务系统时不得不考虑的场景

阿里巴巴云原生

阿里云 微服务 云原生 OpenSergo

mac 本地hive2 安装

飞哥

大数据 hadoop hive

几种跨平台方案的对比

Geek_99967b

小程序 跨平台

Flutter 实现小姐姐渐现动画效果

岛上码农

flutter ios 前端 安卓开发 7月月更

编译器优化那些事儿(4):归纳变量

openEuler

openEuler 毕昇 JDK 开源操作系统 编译器 加速器 编程语言

【刷题记录】8. 字符串转换整数 (atoi)

WangNing

7月月更

基于ResNet50实现宫颈细胞病变分类

逝缘~

分类神经网络 7月月更

hive on spark 和 spark on hive

飞哥

大数据 spark hive

深度揭秘阿里云函数计算异步任务能力

阿里巴巴云原生

阿里云 Serverless 云原生 异步 函数计算

大数据15周作业

Asha

一位 sealer maintainer 的心路历程

阿里巴巴云原生

阿里云 开源 云原生 sealer

机器学习-西瓜书小记

AIWeker

机器学习 7月月更

一款代替Typora的软件---MarkText

IT蜗壳-Tango

7月月更

瑞云与宜宾职院开展校企合作,同深圳VR联合会共建元宇宙产业学院

3DCAT实时渲染

职业教育 虚拟现实 虚拟仿真 元宇宙

「阿里云 RocketMQ 系列公开课」重磅来袭!

阿里巴巴云原生

Apache 阿里云 RocketMQ 云原生 直播

mac 本地安装spark

飞哥

大数据 spark 数据仓库

微服务与Kubernetes容器云的边界

穿过生命散发芬芳

微服务 7月月更

使用CMMI-DEV模型进行安全的设计_安全_Ben Linders_InfoQ精选文章