《如何通过 SDL 和 SecDevOps 实现软件及应用的原生安全 .pdf》由会员分享,可在线阅读,更多相关《如何通过 SDL 和 SecDevOps 实现软件及应用的原生安全 .pdf(48页珍藏版)》请在三个皮匠报告上搜索。
1、如何通过 SDL 和 SecDevOps 实现软件及 应用的原生安全 Microsoft Online Tech Forum 微软在线技术峰会朱长明 安全架构师 如何通过 SDL 和 SecDevOps 实现软件及应用 的原生安全 最佳安全实践介绍 Agenda SDL是什么 SDL的安全实践 SDL和DevOps的融合 SDL是什么 什么是安全开发周期? 是什么! 通过最佳实践来提高软件开发生命周期的过程,以提高软件安全性 试图解决安全问题并减少不安全软件的成本的尝试。 不是什么! SDL并非无所不能,彻底的治本! Microsoft安全历史 比尔盖茨在2002 年初撰写“可信赖 计算”备忘
2、录 memo early 2002 全推送和FSR扩展 到其他产品 高级领导团队同 意对所有产品要 求SDL 面临重大风险和/ 或 处理敏感数据 添加了SDL增强功 能 “模糊测试”,代 码分析,密码设 计要求 隐私,禁止的危 险函数等 Windows Vista是 第一个通过完整 SDL的操作系统 更广泛的宣传,开 发统一知识库系 统一合规系统的介 绍和开发 安全性已完全集成 到DevOps( DevSecOps)中 更多的安全自动化 工具轻量化 通过反馈,分析 和自动化来优化 流程 开始对外宣传SDL 为什么采纳SDL 网络犯罪演变 局域网 第一台PC病毒 动机:损害 19861995 互
3、联网时代 “大蠕虫” 动机:损害 19952003 操作系统,数据库攻击 间谍软件,垃圾邮件 动机:财务 2004+ 针对性攻击 社会工程学 金融+政治 2006+ 2007 Market prices: Credit Card Number$0.50 - $20 Full Identity$1 - $15 Bank Account$10 - $1000 Cost of U.S. cybercrime: $100B Source: U.S. Government Accountability Office (GAO), FBI 关键基础设施攻击 间谍 网络战 2009+ Design 1 X Development Static Analysis 6.5X Testing Integration Testing System/Acceptance Testing 15X Deploymen