如何通過 SDL 和 SecDevOps 實現軟件及應用的原生安全 .pdf

《如何通過 SDL 和 SecDevOps 實現軟件及應用的原生安全 .pdf》由會員分享，可在線閱讀，更多相關《如何通過 SDL 和 SecDevOps 實現軟件及應用的原生安全 .pdf（48頁珍藏版）》請在三個皮匠報告上搜索。

1、如何通過 SDL 和 SecDevOps 實現軟件及 應用的原生安全 Microsoft Online Tech Forum 微軟在線技術峰會朱長明 安全架構師 如何通過 SDL 和 SecDevOps 實現軟件及應用 的原生安全 最佳安全實踐介紹 Agenda SDL是什么 SDL的安全實踐 SDL和DevOps的融合 SDL是什么 什么是安全開發周期？ 是什么！ 通過最佳實踐來提高軟件開發生命周期的過程，以提高軟件安全性 試圖解決安全問題并減少不安全軟件的成本的嘗試。 不是什么! SDL并非無所不能，徹底的治本！ Microsoft安全歷史 比爾蓋茨在2002 年初撰寫“可信賴 計算”備忘

2、錄 memo early 2002 全推送和FSR擴展 到其他產品 高級領導團隊同 意對所有產品要 求SDL 面臨重大風險和/ 或 處理敏感數據 添加了SDL增強功 能 “模糊測試”，代 碼分析，密碼設 計要求 隱私，禁止的危 險函數等 Windows Vista是 第一個通過完整 SDL的操作系統 更廣泛的宣傳，開 發統一知識庫系 統一合規系統的介 紹和開發 安全性已完全集成 到DevOps（ DevSecOps）中 更多的安全自動化 工具輕量化 通過反饋，分析 和自動化來優化 流程 開始對外宣傳SDL 為什么采納SDL 網絡犯罪演變 局域網 第一臺PC病毒 動機：損害 19861995 互

3、聯網時代 “大蠕蟲” 動機：損害 19952003 操作系統，數據庫攻擊 間諜軟件，垃圾郵件 動機：財務 2004+ 針對性攻擊 社會工程學 金融+政治 2006+ 2007 Market prices: Credit Card Number$0.50 - $20 Full Identity$1 - $15 Bank Account$10 - $1000 Cost of U.S. cybercrime: $100B Source: U.S. Government Accountability Office (GAO), FBI 關鍵基礎設施攻擊 間諜 網絡戰 2009+ Design 1 X Development Static Analysis 6.5X Testing Integration Testing System/Acceptance Testing 15X Deploymen