@微光
2年前 提问
1个回答

软件安全一般包含哪几种接触点

一颗小胡椒
2年前

软件安全一般包含以下几种接触点:

  • 代码审核:所有软件开发都会产生代码,因此代码审核成为第一个接触点。代码审核可以使用商业或免费工具。

  • 风险分析:在架构设计中,应进行风险分析,确定可能的攻击,并提供一致的安全防护措施。安全分析人员应通过风险分析揭示体系结构存在的风险和瑕疵。

  • 渗透测试:渗透测试可以评估真实运行环境中软件的安全性。结合体系结构风险分析来设计渗透测试效果会更好。

  • 基于风险的安全测试:功能测试能够告诉软件开发人员是否能实现其功能设计,安全测试会告诉软件开发人员该功能设计能否正确而安全地实现。

  • 滥用案例:滥用案例也称为误用案例,通过设计滥用案例,可以更准确地描述系统在受到攻击时的行为表现:应该保护什么、免受谁的攻击,以及保护多长时间等。

  • 安全需求:在软件开发的需求阶段应当充分考虑安全方面的需求,好的安全需求包括功能安全需求和异常处理安全需求。功能安全需求包括如数据加密、隐私保护和访问控制等,而异常处理安全需求包括软件异常处理、恶意攻击处理等。

  • 安全操作:要求软件公司不同部门、不同职位人员之间进行密切合作和协同一致的工作,在实践中可以在应用上述接触点时互相配合工作。