如何通过 SDL 和 SecDevOps 实现软件及应用的原生安全 .pdf

《如何通过 SDL 和 SecDevOps 实现软件及应用的原生安全 .pdf》由会员分享，可在线阅读，更多相关《如何通过 SDL 和 SecDevOps 实现软件及应用的原生安全 .pdf（48页珍藏版）》请在三个皮匠报告上搜索。

1、如何通过 SDL 和 SecDevOps 实现软件及 应用的原生安全 Microsoft Online Tech Forum 微软在线技术峰会朱长明 安全架构师 如何通过 SDL 和 SecDevOps 实现软件及应用 的原生安全 最佳安全实践介绍 Agenda SDL是什么 SDL的安全实践 SDL和DevOps的融合 SDL是什么 什么是安全开发周期？ 是什么！ 通过最佳实践来提高软件开发生命周期的过程，以提高软件安全性 试图解决安全问题并减少不安全软件的成本的尝试。 不是什么! SDL并非无所不能，彻底的治本！ Microsoft安全历史 比尔盖茨在2002 年初撰写“可信赖 计算”备忘

2、录 memo early 2002 全推送和FSR扩展 到其他产品 高级领导团队同 意对所有产品要 求SDL 面临重大风险和/ 或 处理敏感数据 添加了SDL增强功 能 “模糊测试”，代 码分析，密码设 计要求 隐私，禁止的危 险函数等 Windows Vista是 第一个通过完整 SDL的操作系统 更广泛的宣传，开 发统一知识库系 统一合规系统的介 绍和开发 安全性已完全集成 到DevOps（ DevSecOps）中 更多的安全自动化 工具轻量化 通过反馈，分析 和自动化来优化 流程 开始对外宣传SDL 为什么采纳SDL 网络犯罪演变 局域网 第一台PC病毒 动机：损害 19861995 互

3、联网时代 “大蠕虫” 动机：损害 19952003 操作系统，数据库攻击 间谍软件，垃圾邮件 动机：财务 2004+ 针对性攻击 社会工程学 金融+政治 2006+ 2007 Market prices: Credit Card Number$0.50 - $20 Full Identity$1 - $15 Bank Account$10 - $1000 Cost of U.S. cybercrime: $100B Source: U.S. Government Accountability Office (GAO), FBI 关键基础设施攻击 间谍 网络战 2009+ Design 1 X Development Static Analysis 6.5X Testing Integration Testing System/Acceptance Testing 15X Deploymen