Жизненный цикл разработки безопасности Microsoft
Жизненный цикл разработки безопасности Microsoft (SDL) — это подход, который Microsoft использует для интеграции безопасности в процессы DevOps (иногда называемый подходом DevSecOps). Вы можете использовать это руководство и документацию по SDL, чтобы адаптировать этот подход и практики к вашей организации.
Практики, описанные в подходе SDL, могут применяться ко всем типам разработки программного обеспечения и всем платформам, от классического водопада до современных подходов DevOps, и в целом могут применяться к:
- Программное обеспечение — разрабатываете ли вы программный код для встроенного ПО, приложений искусственного интеллекта, операционных систем, драйверов, устройств IoT, приложений для мобильных устройств, веб-сервисов, плагинов или апплетов, аппаратного микрокода, приложений с низким кодом или без кода или другого программного обеспечения. форматы. Обратите внимание, что большинство практик SDL применимы и для разработки безопасного компьютерного оборудования.
- Платформы — работает ли программное обеспечение на «бессерверной» платформе, на локальном сервере, мобильном устройстве, виртуальной машине, размещенной в облаке, конечной точке пользователя, как часть приложения «Программное обеспечение как услуга» (SaaS), в облаке. периферийное устройство, устройство Интернета вещей или где-либо еще.
SDL рекомендует 10 методов обеспечения безопасности , которые следует включить в рабочие процессы разработки. Применение 10 методов обеспечения безопасности SDL — это непрерывный процесс совершенствования, поэтому ключевая рекомендация — начинать с определенного момента и продолжать совершенствовать по мере продвижения. Этот непрерывный процесс включает в себя изменения в культуре, стратегии, процессах и техническом контроле по мере внедрения навыков и методов обеспечения безопасности в рабочие процессы DevOps.
10 практик SDL :
- Установите стандарты безопасности, метрики и управление.
- Требуйте использования проверенных функций безопасности, языков и платформ.
- Выполнение анализа проекта безопасности и моделирования угроз.
- Определять и использовать стандарты криптографии
- Обеспечьте безопасность цепочки поставок программного обеспечения
- Обеспечьте безопасность инженерной среды
- Провести тестирование безопасности
- Обеспечить безопасность операционной платформы
- Внедрение мониторинга безопасности и реагирования
- Проведите обучение по безопасности
Версии [ править ]
| Версия | Дата выпуска | Связь |
|---|---|---|
| 1 | Январь 2004 г. | Неизданный |
| 2 | июль 2004 г. | Неизданный |
| 2.1 | январь 2005 г. | Неизданный |
| 2.2 | июль 2005 г. | Неизданный |
| 3 | январь 2006 г. | Неизданный |
| 3.2 | 2008-04-15 | http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=24308 |
| 4.1 | 2009-06-01 | http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=15526 |
| 4.1а | 2010-04-15 | http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=17701 |
| 5 | 2010-05-11 | http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=12285 |
| 5.2 | 2012-05-23 | http://www.microsoft.com/en-us/download/details.aspx?id=29884 |
| 6 | 2024-05-21 | https://www.microsoft.com/securityengineering/sdl |
См. также [ править ]
Дальнейшее чтение [ править ]
- Создание культуры, стратегии и процессов - Инновационная безопасность (CAF Secure)
- Определение методов и средств обеспечения безопасности — элементы управления DevSecOps
- Оцените свои текущие рабочие нагрузки с помощью хорошо продуманной оценки безопасности — Well Architected Review
Внешние ссылки [ править ]
 | Эта программной инженерии, статья, посвященная является незавершенной . Вы можете помочь Википедии, расширив ее . |