@风铃
2年前 提问
1个回答
软件安全的通用安全需求有哪些
GQQQy
2年前
软件安全的通用安全需求有以下这些:
安全架构需求:安全架构需求是指考虑软件系统本身的安全可靠性,系统的兼容性、经济性,与现有IT结构的继承性,以及定制化的灵活性。可以通过问卷调查和访谈获取安全架构需求。
会话管理需求:会话管理需求是指,一旦会话被建立,可以保持在一种不损坏软件安全性的状态下进行有效会话。
错误和例外管理需求:错误和例外消息是信息泄露的潜在来源。冗长的错误消息和未处理的例外或异常报告会导致内部应用程序体系结构、设计和配置信息泄露。使用简洁的错误消息和结构化的例外事件处理方法,可以减少安全风险。软件安全需求文档中要明确阐述错误和例外的定义及其处理方法,避免信息泄露的威胁。
配置参数管理需求:软件配置参数和组成软件的代码需要被保护,以防止黑客的攻击。例如,应用程序配置文件必须对敏感的数据库连接和其他敏感的应用程序设置进行加密。需要谨慎而明确地对初始化和全局变量的丢弃处理活动进行监控。应用程序或会话的起始和终止事件必须包含对配置信息的安全保护。
顺序和时间需求:软件进程运行的顺序和时间设计缺陷会导致竞争条件和检查时间或者使用时间攻击。竞争条件实际上是最常见的一种软件设计缺陷,有时也称为竞争风险。