软件安全十防DDoS诫(一)-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 软件安全十防DDoS诫(一)

软件安全十防DDoS诫(一)

小墨安全管家 2020-05-14 17:22 CC防护 89 ℃
DDoS防御

6、你应该为你的SSG进展培养软件安全专家(因为身边没有脚够的合格专家)。

8、你应该认真追踪你的数据,并指导数据的位置,不管你的架构多么云计算化。

依照在该行业多年的经验以及四年解译BSIMM数据的经验,笔者提出了软件安全十诫。

马上开播:5月14日,Jenkins在K8S下的三种部署流程和实战演示

2012年9月公布的《在成熟模型中构建安全》(BSIMM)的第四版本被媒体大肆宣传,BSIMM4包含对英特尔和富达案件的详细的案例分析。笔者以为BSIMM的重要性在于—它是唯一可用于衡量软件安全打算的数据驱动模型。BSIMM从事实动身,详细描述软件安全状态。

1、你应该经过软件安全组(SSG)来建立软件安全打算(SSI)。

2、你应该依靠采纳BSIMM的风险治理和客观测量来定义SSI的成功来确定SSI的成功,而不是“前十名列表”和漏洞数量。

与企业高管沟通时,直截了当将SSI的成功与业务价值相联系,并与公司的竞争对手作比较。正如上诉所讲,假如你正面对着不断扩大的安全咨询题清单,而你没有想办法来解决这些咨询题,你大概会被视为是咨询题的一部分。企业高管希翼看到你的软件安全打算所有方面的一些“关键绩效指标”。培训发展怎么?你的开辟人员学会了怎么在最开始幸免漏洞吗?你的漏洞密度比是?也算是讲,与六个月前相比,在相同单位内,漏洞数量有所下落吗?每当你的开辟团队整合新技术堆栈时,是否会浮上大量安全漏洞?当你发觉和解决架构咨询题或者修改了的要求时,你展示了这将会为你省下多少烦恼和金钞票吗?与去年相比,经过最近的生命周期渗透测试,你是否发觉咨询题变少了?(应该是如此)。最终,因为软件安全打算具有多个活动部件,BSIMM测量是测量你自个儿的最可靠的想法。高层治理人员爱慕BSIMM,并可以即时掌握其效用。

4、你应该创建和采纳SSDL想法,如微软SDL或者Cigital Touchpoints,这些想法整合了安全操纵(包括架构风险分析、代码审查和渗透测试)以及比他们自个儿运行的工具还更了解软件安全的人员。

5、你不应该将软件安全活动仅限于技术SDLC活动,尤其是渗透测试。

但BSIMM没有提供直截了当的建议来指导你的公司怎么处理软件安全咨询题。诚然,绝大多数企业才刚不久开始面对软件安全,他们将受益于多年(集体)直截了当经验的可操作性指导。

依靠采纳BSIMM的风险治理和客观测量来定义SSI的成功,而不是“前十名名单”和漏洞数量。太多软件安全专业人士将软件安全视为“打地鼠”式的漏洞寻找。企业应该意识到,发觉漏洞并不没有创建安全的软件,也不能以此与治理层沟通。其实,面对不断扩大的安全咨询题清单,只会让高层治理人员感到更加沮丧。假如你将所有时刻花费在寻找漏洞上,而不花时刻来修复这些漏洞,这全然是徒劳无功。同样地,假如你花时刻来修复安全漏洞,但又反复发觉同样的漏洞,这仍然是徒劳。幸运的是,BSIMM为软件安全打算提供了一具极好的测量标杆。你能够将你的软件安全打算中的活动与同行举行对照,以确定你是遥遥率先、排在中间,依旧最终(不要让自个儿沦为倒数)。BSIMM测量提供了对软件安全打算的详细快照,这让高层治理人员特别容易理解。一些率先的企业使用BSIMM测量来追踪发展事情,并为设置软件安全打算战略提供真实的数据。关于你的企业而言,需要何种程度的软件安全性?那个咨询题咨询得好。所幸的是,一些你的同行大概懂。

7、你应该关注来自业务、运营和事件响应人员的情报信息,并相应地调整SSI操纵。


DDoS防御

当前位置:主页 > CC防护 > 软件安全十防DDoS诫(一)

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119