写点什么

使用 CMMI-DEV 模型进行安全的设计

  • 2013-12-06
  • 本文字数:842 字

    阅读完需:约 3 分钟

为了达到开发高安全性产品的目的,软件开发生命周期所涉及到的流程必须包含安全性方面的行为。在 2013 年 SEPG 欧洲大会上,西门子的 Winfried Russwurm 以及 Limes Security 公司的 Peter Panholzer 高呼:“我们必须从最初阶段就将软件的安全性考虑进去,我们必须基于软件设计开发产品”。在会上,他们举办了一个关于探索软件安全性的研讨会,同时还提出了关于开发高安全性产品改进流程的指导手册。(译注:SEPG 为软件工程流程组织的缩写,Software Engineering Process Group)

Winfried 和 Peter 向与会者呼吁,针对软件的安全性我们必须有专门的软件开发活动以创造出更安全的软件产品。他们将与会者提出的意见归纳为以下几个方面:

组织架构方面: - 安排专职的安全专家

  • 增进软件安全意识并且打造安全性的企业文化
  • 提供关于安全方面的培训
  • 建立并实行安全性的策略

需求方面: - 在项目利益相关者中引入“黑客”

  • 进行安全风险分析
  • 定义安全性需求,比如:关于安全性的用户用例或场景

架构方面: - 在接口设计方面注重考虑安全风险

  • 落实关于安全性的架构规则及纲领
  • 对于软件安全性寻找并应用行之有效的架构

实施方面: - 为软件安全性应用编程准则

  • 使用工具来检验代码安全性

测试方面: - 计划并进行软件安全性测试

  • 使用工具来进行自动化的软件安全性测试

开发生命周期: - 进行软件安全性评审及验证

  • 辨别风险来源、分类并进行风险评估
  • 学习其他公司及社区做得好的方面
  • 建立关于如何处理安全性问题的社会媒体政策

今年早些时候,CMMI Institute 发布了关于开发高安全性产品改进流程的指导手册。这份指导手册对软件安全性的3 个方面给出了更详细的流程说明。这3 个方面包括:软件工程的安全性方面、软件项目的安全性管理以及组织中的安全性话题。我们可以运用这份指导手册以及能力成熟度CMMI-DEV 模型为我们的客户提供更可靠的软件安全保障。

指导手册的作者们以及 CMMI Institute 都期望能够听到来自读者的声音、获得来自运用这份指导手册的机构的反馈。

查看英文原文: Applying Security by Design with the CMMI for Development

2013-12-06 00:131390

评论

发布
暂无评论
发现更多内容

主流定时任务解决方案全横评

阿里巴巴云原生

阿里云 Serverless 云原生

软件测试 | 测试开发 | 想测试入门就必须要懂的软件开发流程

测吧(北京)科技有限公司

测试

软件测试 | 测试开发 | 数据持久化技术(Java)

测吧(北京)科技有限公司

测试

FreeRTOS记录(二、FreeRTOS任务API认识和源码简析)

矜辰所致

源码分析 FreeRTOS 9月月更 任务API

长沙!《学习的学问》长沙分享会

博文视点Broadview

行业案例|长安汽车质量管理数据分析实践

Kyligence

质量管理 数据管理 长安汽车

中文稀疏GPT大模型落地——通往低成本&高性能多任务通用自然语言理解的关键里程碑

阿里云大数据AI技术

自然语言处理 多任务 企业号九月金秋榜 GPT

SAP UI5 ManagedObject 的 Association 讲解

汪子熙

JavaScript typescript SAP UI5 ui5 9月月更

易周金融分析 | 多家银行试水特色网点揽客;自动驾驶颠覆传统车险模式

易观分析

自动驾驶 金融 银行 网点

软件测试 | 测试开发 | 一文带你了解K8S 容器编排(上)

测吧(北京)科技有限公司

测试

小六六学Netty系列之Java 零拷贝

自然

Netty 网络 9月月更

阿里云弹性计算技术专家樊毅伟:云上成本优化实践

阿里云弹性计算

自动化运维 资源利用

leetcode 104. Maximum Depth of Binary Tree 二叉树的最大深度(简单)

okokabcd

LeetCode 算法与数据结构

小六六学Netty系列之Java NIO(二)

自然

Netty 网络 9月月更

软件测试 | 测试开发 | 如何模拟真实使用场景?mock 技术来帮你

测吧(北京)科技有限公司

测试

软件测试 | 测试开发 | Jenkins 踩坑(三)| Email 配置与任务邮件发送

测吧(北京)科技有限公司

测试

软件测试 | 测试开发 | RPC接口测试技术-Tcp 协议的接口测试

测吧(北京)科技有限公司

C语言_3 选择结构

泾箐

c 9月月更

「工作小记」多个批量操作的链式实现

叶一一

前端 设计思维 React Hooks 9月月更

微信Windows端IM消息数据库的优化实践:查询慢、体积大、文件损坏等

JackJiang

sqlite 微信 网络编程 即时通讯 IM

Spring源码分析(九)lazy-init 在Spring中是怎么控制加载的

石臻臻的杂货铺

spring 9月月更

C语言_2 变量

泾箐

c 9月月更

Netty高并发处理架构设计介绍

孙大卫

架构 Netty 开发框架 9月月更

OpenHarmony中的HDF单链表及其迭代器

OpenHarmony开发者

Open Harmony

小六六学Netty系列之Netty群聊

自然

Netty 网络 9月月更

TOP 5!望繁信科技获评WAIC2022全球创新项目路演优胜项目

望繁信科技

WAIC2022

源于加速,不止加速-阿里云加速引擎的10年演化之路

阿里云CloudImagine

CDN CDN加速 CDN技术

找准风口,如何从运维转向 DevOps?

飞算JavaAI开发助手

云游戏产业链深度解析

Finovy Cloud

云计算 5G 云渲染 云游戏

软件测试 | 测试开发 | 基于Requests与mitmproxy打造迷你接口测试框架

测吧(北京)科技有限公司

测试 Request

数据治理的内核:数据标准

小鲸数据

数据治理 大数据平台 数据管理平台 数据标准 大数据仓库

使用CMMI-DEV模型进行安全的设计_安全_Ben Linders_InfoQ精选文章