乐趣区

腾讯安全发布应用安全开发能力图谱

​​产业互联网疾速倒退的同时也面临诸多平安挑战,平安威逼的倒退出现出新的特色和局势,利用零碎面临的威逼环境一直变动,其安全形势仍不容乐观。钻研机构近年来对网络安全态势的分析表明,由应用软件破绽导致的安全事件始终占据着排行榜靠前地位,这些安全事件既造成了重大的数据泄露,又对企业的生产经营带来了重大影响。

美国国家标准与技术研究所(NIST)评估,如果在利用零碎上线之后进行软件破绽修复,其修复老本是需要设计阶段修复老本的几十倍,所以应用软件的平安品质不仅仅是测试进去的,更是设计开发进去的。腾讯平安专家咨询中心从客户视角登程,联合腾讯外部利用平安开发的实践经验,针对企业用户如何设计开发建设利用平安开发体系,给出具体的能力清单和领导框架,汇聚成通用性的利用平安开发能力图谱,旨在帮忙企业在产业互联网转型过程中晋升应用软件平安品质,从源头升高平安危险。

关注 腾讯平安(公众号:TXAQ2019)

回复 【利用平安开发能力图谱】 获取原图

腾讯利用平安开发能力图谱提出了六大能力:平安开发治理能力、平安开发需要能力、平安开发设计能力、平安开发编码能力、平安开发测试能力和平安开发成熟度评估能力。

  • 平安开发治理能力是平安开发体系指路明灯;
  • 平安开发需要能力是平安开发体系可能落地的关键因素;
  • 平安开发设计能力是平安开发落地的重要动作;
  • 平安开发编码能力是落地不二法门;
  • 平安测试能力是继续迭代的重要保障;
  • 平安开发成熟度评估能力是迷信的度量。

六大能力笼罩了利用平安开发生命周期的次要场景,在建设利用平安开发体系建设时具备较高的参考价值。

平安开发治理能力

发展利用开发平安体系建设,首先要建设一个适合的平安开发组织架构。正当的平安组织架构是平安开发可能建设落地重要撑持,依据组织、人员和开发流程建设起正当的平安开发治理要求、平安开发环境、设定开发流程和平安控制点的无缝交融,做到全流程平安危险固化可视化,避免平安流程绕过。

平安开发需要能力

为缩小利用平安问题带来的损失,以及线上平安问题整改带来的老本,须要将平安开发工作进行左移。在利用零碎需要分析阶段,就应该对利用系统软件的平安需要进行全面梳理,建设通用的平安需要,而后依据利用零碎不同的等级和业务个性差别建设基线要求和特定需要,依据岗位的差别设计不同方向的培训内容:如安全意识培训、平安技术培训、公司级平安要求宣贯等。

平安开发设计能力

在对利用零碎做概要设计、具体设计时,为了防止产品设计带来的安全隐患,防止后续发现问题对性能实现流程甚至应用软件架构大刀阔斧改变带来昂扬代价。在产品设计阶段,须要退出必要的平安设计流动:包含攻击面威逼剖析、数据流剖析、威逼建模、权限最小化、架构平安设计、性能平安设计、接口平安设计、逻辑平安设计、零碎上线部署平安设计等,通过这些设计流动和开发流程的强联合缩小利用安全隐患,晋升利用零碎线上平安能力。

平安开发编码能力

通过提供平安开发指引、制订平安编码标准、平安编译标准、提供公共安全组件对开发人员进行赋能,让其依照平安开发编码标准进行编码,并提供一套强有力的源代码平安检测零碎,对源代码做滚动安全检查,从代码编写阶段把控代码平安品质,从而从源头缩小或打消因编码谬误而产生的安全漏洞,缩小后续修复的老本。

平安开发测试能力

在软件开发生命周期中,不同阶段修复安全漏洞的老本差距十分大,研发阶段与经营阶段修复老本和危险差别微小,所以在利用零碎上线之前就修复安全漏洞效率高、危险低。➢联合企业的理论状况能够采取动态测试、动静测试、交互测试、含糊测试、人工检测等形式发现问题、修复问题;➢针对不同的业务利用建设平安测试用例、误报清理指引、品质红线品质门,原则上各项均合格达标能力公布上线;➢对于在测试中发现的和 SRC 通报的破绽应建设响应流程,通过可视化破绽平台对破绽进行对立治理、对立评估、对立验证。

平安开发成熟度评估能力

软件平安开发成熟度评估是一种对比性的模型,帮忙企业本身在平安开发在组织布局、技术能力、建设施行等方面掂量软件开发平安能力。通过成熟度评估,能够达到以下指标:➢评估企业在利用系统安全开发能力上的现状和程度,剖析企业平安开发能力和业界平均水平及最高程度的差距。➢依据企业的信息化和网络安全的指标,综合思考资源状况和零碎开发成熟度,布局正当的、能够实现的指标方向、将来的演进路线便于造成利用平安开发策略、阶段性指标和每年的口头计划。

欢送业内人士退出【腾讯利用开发平安技术交换群】,独特探讨利用平安开发能力和技术实际。

扫描二维码进群????

或增加小助手微信号【Tencent-DataSecurity】

发送 【利用平安开发】 进群​​​​

退出移动版