Жизненный цикл разработки безопасности Microsoft

Процесс разработки программного обеспечения для повышения безопасности

Жизненный цикл разработки безопасности Microsoft (SDL) — это подход, который Microsoft использует для интеграции безопасности в процессы DevOps (иногда называемый подходом DevSecOps). Вы можете использовать это руководство и документацию SDL для адаптации этого подхода и практик к вашей организации.  

Практики, описанные в подходе SDL, могут применяться ко всем типам разработки программного обеспечения и всем платформам, от классической каскадной модели до современных подходов DevOps, и могут в целом применяться в:  

• Программное обеспечение — разрабатываете ли вы программный код для прошивки, приложений ИИ, операционных систем, драйверов, устройств IoT, приложений для мобильных устройств, веб-сервисов, подключаемых модулей или апплетов, аппаратного микрокода, приложений с низким кодом/без кода или других форматов программного обеспечения. Обратите внимание, что большинство практик в SDL применимы и к разработке безопасного компьютерного оборудования. 
• Платформы — работает ли программное обеспечение на платформе «без сервера», на локальном сервере, мобильном устройстве, размещенной в облаке виртуальной машине, на конечном устройстве пользователя, в составе приложения «Программное обеспечение как услуга» (SaaS), на периферийном устройстве облака, устройстве IoT или где-либо еще. 

SDL рекомендует 10 практик безопасности для внедрения в ваши рабочие процессы разработки. Применение 10 практик безопасности SDL — это непрерывный процесс совершенствования, поэтому ключевая рекомендация — начать с какой-то точки и продолжать совершенствоваться по мере продвижения. Этот непрерывный процесс включает изменения в культуре, стратегии, процессах и технических элементах управления по мере внедрения навыков и практик безопасности в рабочие процессы DevOps.

10 практик SDL:

1. Установить стандарты безопасности, показатели и управление
2. Требовать использования проверенных функций безопасности, языков и фреймворков
3. Выполнить обзор проекта безопасности и моделирование угроз
4. Определить и использовать стандарты криптографии
5. Обеспечьте безопасность цепочки поставок программного обеспечения
6. Обеспечьте безопасность инженерной среды
7. Проведение тестирования безопасности
8. Обеспечить безопасность операционной платформы
9. Реализовать мониторинг безопасности и реагирование
10. Обеспечить обучение по безопасности

Версии

Смотрите также

• Надежная вычислительная база

Дальнейшее чтение

1. Создание культуры, стратегии и процессов - Безопасность инноваций (CAF Secure)
2. Определение методов и средств обеспечения безопасности — средства управления DevSecOps
3. Оцените свои текущие рабочие нагрузки с помощью хорошо спроектированной оценки безопасности - Well Architected Review

Внешние ссылки

• Официальный сайт