2022年CISP教材知識(shí)點(diǎn)整理：軟件安全開(kāi)發(fā)生命周期模型

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個(gè)知識(shí)類(lèi)，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識(shí)點(diǎn)梳理，詳情如下：‘

10.1知識(shí)子域：軟件安全開(kāi)發(fā)生命周期

10.1.3 軟件安全開(kāi)發(fā)生命周期模型

軟件安全開(kāi)發(fā)涵蓋軟件的整個(gè)生命周期

安全軟件開(kāi)發(fā)生命周期（Secure Software Development Lifecycle，SSDL）是一種強(qiáng)調(diào)具有安全設(shè)計(jì)和安全措施的軟件生命周期，即通過(guò)軟件開(kāi)發(fā)的各個(gè)步驟來(lái)確保軟件的安全性，其目標(biāo)是最大限度地確保軟件的安全

據(jù)數(shù)據(jù)表明，在軟件發(fā)布后對(duì)安全漏洞的修復(fù)所需的成本至少是在軟件設(shè)計(jì)和編碼階段就進(jìn)行修復(fù)的30倍

1.SDL（安全開(kāi)發(fā)生命周期）

SDL基于3個(gè)核心概念：教育、持續(xù)過(guò)程改進(jìn)和責(zé)任

SDL將軟件開(kāi)發(fā)生命周期劃分為7個(gè)階段，并提出了17項(xiàng)重要的安全活動(dòng)

棄用不安全的函數(shù)，屬于實(shí)現(xiàn)（實(shí)施）階段

（1）培訓(xùn)

（2）需求

（3）設(shè)計(jì)

（4）實(shí)現(xiàn)

（5）驗(yàn)證

（6）發(fā)布

（7）響應(yīng)

2.CLASP（綜合的輕量級(jí)應(yīng)用安全過(guò)程）

由安全軟件公司（Secure Software，Inc）提出，后來(lái)由開(kāi)放Web應(yīng)用安全項(xiàng)目（The Open Web Application Security Project，OWASP）完善、維護(hù)并推廣

3.CMMI（軟件能力成熟度集成模型）

CMMI的5個(gè)級(jí)別

（1）CMMI Level 1，初始級(jí)

（2）CMMI Level 2，可管理級(jí)

（3）CMMI Level 3，已定義級(jí)

（4）CMMI Level 4，量化管理級(jí)

（5）CMMI Level 5，優(yōu)化管理級(jí)

CMMI的每個(gè)等級(jí)都由幾個(gè)過(guò)程域組成，這幾個(gè)過(guò)程域共同形成一種軟件過(guò)程能力

每個(gè)過(guò)程域都由一些特殊目標(biāo)和通用目標(biāo)

當(dāng)一個(gè)過(guò)程域的所有特殊實(shí)踐和通用實(shí)踐都按要求得到實(shí)施，就能實(shí)現(xiàn)該過(guò)程域的目標(biāo)

4.SAMM（軟件保證成熟度模型）

軟件保證成熟度模型（Software Assurance Maturity Mode，SAMM）

SAMM規(guī)定了4個(gè)軟件開(kāi)發(fā)過(guò)程中的核心業(yè)務(wù)功能，包括治理、構(gòu)造、驗(yàn)證以及部署

4個(gè)業(yè)務(wù)功能各包括了3個(gè)安全實(shí)踐

（1）治理：策略與指標(biāo)、教育與指導(dǎo)、政策與遵守

（2）構(gòu)造：安全需求、威脅評(píng)估、安全架構(gòu)

（3）驗(yàn)證：設(shè)計(jì)審核、安全測(cè)試、代碼審核

（4）部署：環(huán)境強(qiáng)化、漏洞管理、操作啟用

5.BSIMM（BSI成熟度模型）

BSI成熟度模型（Building Security In Maturity Model，BSIMM）

6.各軟件安全開(kāi)發(fā)模型的特點(diǎn)

BSI認(rèn)為軟件安全有3根支柱：風(fēng)險(xiǎn)管理、軟件安全接觸點(diǎn)和安全知識(shí)

Gary McGraw

注：以上內(nèi)容來(lái)源于網(wǎng)絡(luò)，如有侵權(quán)，可聯(lián)系客服刪除