上海安势信息：2021年安全软件开发生命周期S-SDLC咨询服务白皮书（15页）.pdf

1、安全服务产品白皮书 1 文档编号 文档密级 限制分发 版本号 V3.0 安全软件开发生命周期（S-SDLC）咨询服务白皮书 上海安势信息技术有限公司 2021 年 9 月 安全服务产品白皮书 2 版权声明 本白皮书版权属于上海安势信息技术有限公司（简称，安势信息），并受法律保护，转载、摘编或利用其他方式使用本白皮书文字，应注明“来源：上海安势信息技术有限公司”，违反上述说明的，本公司将追究其相关法律责任。安全服务产品白皮书 3 目 录 1.S-SDLC 概述.4 1.1 国内外安全现状.4 1.2 开发安全基本概念.5 1.3 面临的安全挑战.5 2.S-SDLC 的服务内容.7 2.1 S-

2、SDLC 的服务概述.7 2.2 S-SDLC 的服务范围.7 2.2.1 服务面向行业.7 2.2.2 咨询服务框架.7 2.3 S-SDLC 的服务规范.8 2.3.1 服务参考标准.8 2.3.2 服务基本原则.8 2.4 S-SDLC 的服务流程.9 2.4.1 前期项目准备阶段.9 2.4.2 安全需求导出阶段.10 2.4.3 安全体系设计阶段.11 2.4.4 安全体系实施阶段.12 2.4.5 安全体系保障阶段.14 3 建设收益.15 安全服务产品白皮书 4 1.S-SDLC 概述 1.1 国内外安全现状 随着信息化不断建设，各组织单位在享受到信息化带来的便利的同时，网络安全

3、事件也是愈加严重、层出不穷，其归根结底是由于建设的信息系统存在可利用的漏洞，据相关统计2020 年，业内共提交 CVE 漏洞 1 万 3 千多个，国家信息安全漏洞共享平台 CNVD2020年年度共收录漏洞为 19548 个，同比 2019 年增长 24.23%。除了漏洞数不断上涨，软件漏洞管理的问题也越来越重要。近年来 60%的企业数据泄露与安全漏洞未得到修补有关。根据 Ponemon Institute 对近 3,000 个组织进行的最新调查显示，与去年相比，未能及时修补漏洞导致的停机给企业造成的损失增加了 30%。漏洞修复成本将随着安全的滞后而成倍增加。常规安全工作多在系统运维阶段通过应急

4、响应、合规性检查或定期巡视检查等方式进行。发现的应用层漏洞需要从源代码层面进行修复。对于外包模式开发的应用系统，第三方开发者配合修复存在多重障碍。最坏的情况是，开发人员无法提供代码级支持。被迫通过安全产品采用“虚拟补丁”，通过保护规则保护漏洞。成本增加，保护效果差。软件安全开发生命周期的概念，微软自 2004 年就采用 SDL 即安全开发生命周期。而后 OWASP 提出 S-SDLC 的方法论也被越来越多的企业所重视，纷纷开始实施。安势信息 S-SDLC 咨询服务，是一套完整覆盖全软件开发生命周期的解决方案，面向所有具有软件安全需求的企业，帮助软件企业降低安全问题，提升软件安全质量。安全服务产

5、品白皮书 5 1.2 开发安全基本概念 软件开发模型 软件开发模型是指软件开发全部过程、活动和任务的结构框架。软件开发包括需求、设计、编码和测试等阶段，典型的开发模型有：瀑布模型(Waterfall model)、原型模型(prototype mode)、螺旋模型(spiral model)、智能模型(intelligent model)等。DevOps DevOps（即 Development 和 Operations 的组合词）是一种重视“软件开发人员（Dev）”和“IT 运维技术人员（Ops）”之间沟通合作的文化、方法和过程。透过自动化“软件交付”和“架构变更”的流程，使得构建、测试、发

6、布软件能更快捷、频繁和可靠。SDLC SDLC（即 Software Development Life Cycle，系统生命周期），是软件的产生直到报废的生命周期，周期内有计划和需求分析、定义需求、设计产品架构、构建与产品开发、测试产品、部署和维护等阶段。DevSecOps DevSecOps（即 Development、Security 和 Operations，开发、安全和运营）的缩写，在软件开发生命周期的每个阶段自动集成安全性-从最初的设计到集成、测试、部署直至软件交付。1.3 面临的安全挑战 从技术上来看，随着容器、微服务、开发语言等新技术日新月异，许多用户对于新技术都是开放接受态度，