写点什么

使用 CMMI-DEV 模型进行安全的设计

  • 2013-12-06
  • 本文字数:842 字

    阅读完需:约 3 分钟

为了达到开发高安全性产品的目的,软件开发生命周期所涉及到的流程必须包含安全性方面的行为。在 2013 年 SEPG 欧洲大会上,西门子的 Winfried Russwurm 以及 Limes Security 公司的 Peter Panholzer 高呼:“我们必须从最初阶段就将软件的安全性考虑进去,我们必须基于软件设计开发产品”。在会上,他们举办了一个关于探索软件安全性的研讨会,同时还提出了关于开发高安全性产品改进流程的指导手册。(译注:SEPG 为软件工程流程组织的缩写,Software Engineering Process Group)

Winfried 和 Peter 向与会者呼吁,针对软件的安全性我们必须有专门的软件开发活动以创造出更安全的软件产品。他们将与会者提出的意见归纳为以下几个方面:

组织架构方面: - 安排专职的安全专家

  • 增进软件安全意识并且打造安全性的企业文化
  • 提供关于安全方面的培训
  • 建立并实行安全性的策略

需求方面: - 在项目利益相关者中引入“黑客”

  • 进行安全风险分析
  • 定义安全性需求,比如:关于安全性的用户用例或场景

架构方面: - 在接口设计方面注重考虑安全风险

  • 落实关于安全性的架构规则及纲领
  • 对于软件安全性寻找并应用行之有效的架构

实施方面: - 为软件安全性应用编程准则

  • 使用工具来检验代码安全性

测试方面: - 计划并进行软件安全性测试

  • 使用工具来进行自动化的软件安全性测试

开发生命周期: - 进行软件安全性评审及验证

  • 辨别风险来源、分类并进行风险评估
  • 学习其他公司及社区做得好的方面
  • 建立关于如何处理安全性问题的社会媒体政策

今年早些时候,CMMI Institute 发布了关于开发高安全性产品改进流程的指导手册。这份指导手册对软件安全性的3 个方面给出了更详细的流程说明。这3 个方面包括:软件工程的安全性方面、软件项目的安全性管理以及组织中的安全性话题。我们可以运用这份指导手册以及能力成熟度CMMI-DEV 模型为我们的客户提供更可靠的软件安全保障。

指导手册的作者们以及 CMMI Institute 都期望能够听到来自读者的声音、获得来自运用这份指导手册的机构的反馈。

查看英文原文: Applying Security by Design with the CMMI for Development

2013-12-06 00:131587

评论

发布
暂无评论
发现更多内容

作为Java程序员应该怎样去规划自己的学习路线,2021Java者真的太难了

Java 程序员 后端

互联网大厂面试必问的JVM底层原理,高级Java开发必看

Java 程序员 后端

五分钟搞懂MySQL主从复制原理,37岁程序员被裁

Java 程序员 后端

五年Java开发者小米、阿里面经,2021最新Java框架体系架构面试题

Java 程序员 后端

从青铜到王者的路线,mysql视频教程,MongoDB数据分布不均的解决方案

Java 程序员 后端

Vue进阶(幺伍幺):Vue 应用 key 提升页面渲染性能

No Silver Bullet

Vue 10月月更

京东面试真题解析,程序员极客实验室,Java面试基本问题

Java 程序员 后端

今年最新整理的《高频Java面试题集合》,Java开发者必须收藏的8个开源库

Java 程序员 后端

作为一名Java面试者你应该知道的,Java多进程从头讲到尾

Java 程序员 后端

从思路到不断优化,字节跳动算法工程师面试经验

Java 程序员 后端

作为Java程序员,java尚学堂和尚硅谷,看完我工资从12K变成了20K

Java 程序员 后端

从JDK源码学习Hashmap,跳槽面试大厂被拒

Java 程序员 后端

从消息中间件看分布式系统的多种套路,Java进阶篇

Java 程序员 后端

作为一名Java面试者你应该知道的,阿里,快手,拼多多等7家大厂Java面试真题

Java 程序员 后端

京东面试真题解析,泪目

Java 程序员 后端

什么会导致Java应用程序的CPU使用率飙升,高级Java开发技术

Java 程序员 后端

从头到尾,都是精华,java就业班百度网盘,字节跳动算法工程师面试总结

Java 程序员 后端

作为Java程序员应该怎样去规划自己的学习路线,Java面试知识点

Java 程序员 后端

从基础到源码统统帮你搞定,Spring中经典的9种设计模式,一定要记牢

Java 程序员 后端

从零开始学数据结构和算法,offer来了java面试百度云版,学Java必看书籍

Java 程序员 后端

作为一名程序员我不忘初心,2021年是做Java开发人员的绝佳时机

Java 程序员 后端

中软国际Java面试,java基础入门传智播客课后答案,Java开发面试技巧

Java 程序员 后端

五面阿里拿下飞猪事业部offer,腾讯Redis压轴笔记

Java 程序员 后端

京东数科Java面试,尚学堂马士兵java视频教程下载,满满的干货

Java 程序员 后端

从基础到源码统统帮你搞定,mysql教程百度云,面试真题解析

Java 程序员 后端

价值2000元的Java学习资源泄露,Java中接口的使用你得知道

Java 程序员 后端

作为一个码农终于把MySQL日记看懂了,中软国际Java笔试题和答案

Java 程序员 后端

为什么StringBuilder是线程不安全的,Java高级工程师进阶学习

Java 程序员 后端

为什么StringBuilder是线程不安全的,Mybatis源码解析

Java 程序员 后端

二本Java小菜鸟4面字节跳动被秒成渣渣,【Spring注解驱动开发

Java 程序员 后端

从底层开始带你了解并发编程,Java资料下载

Java 程序员 后端

使用CMMI-DEV模型进行安全的设计_安全_Ben Linders_InfoQ精选文章