电信运营商应用软件安全开发生命周期管理

电信运营商目前纷纷转型搞全业务经营,日益丰富的业务需求带来了种类繁多的第三方应用软件。所以,在传统网络和系统安全的基础上,运营商们面临着定制化应用软件安全的新挑战。如何能够解决应用软件漏洞和针对漏洞发起的攻击,正逐渐成为运营商安全工作的新重点。电信运营商可以吸取软件业流行的安全开发生命周期理念,结合自身特点,研究并建立运营商自身的应用软件安全开发生命周期管理。

从软件安全开发生命周期实践的角度保障软件供应链安全

软件供应链安全覆盖软件的开发生命周期和生存周期,且与软件开发过程中的人员、工具、环境等因素密切相关,因而通过不同途径和不同方式能使得软件系统自带安全缺陷,并最终被恶意人员利用形成网络安全事件。文章基于行业主流的软件安全开发生命周期(S-SDLC)流程方法,从软件开发单位自身的安全开发管理、安全开发技术、供应商管理等方面,提出了软件开发过程中保障软件供应链安全的体系化方法,为软件开发过程中尽可能地避免和消除软件安全缺陷、保障软件供应链安全奠定重要基础。

浅谈安全开发生命周期(SDL)理论在农村金融系统的探索应用

本文简要阐述了安全开収生命周期理论的斱法论,讨论指出农村釐融系统自身特色的组织架极和兵业务系统的应用特点,分析了安全开収生命周期理论在农村釐融系统内迚行推广应用所面临的若干困难和挑战,探索性给出了安全开収生命周期理论在农村釐融系统成功落地的应对思路和策略建议。

新环境下的信息系统安全开发与测试

随着信息化技术的不断发展,现有的信息系统在架构和用户体验上得到不断提升,软件开发的模式也通过敏捷,SaaS等方式得到不断的发展。但与此同时伴随着用户量的增长和用户对信息的敏感,安全问题长期困扰各类软件和互联网公司,软件的安全开发和测试不得不成为的信息系统在新环境下所面临的考验和待解决的关键问题之一。从分析新环境下信息系统研发安全需求入手,着重讨论了在软件生命周期中如何利用微软SDL来进行安全开发,并结合作者提出的安全测试方法来有效提高信息系统的安全性和解决敏感信息泄露等问题。

在金融领域实践安全开发体系化建设的探讨

当前,由于软件设计开发工作复杂度不断提升,以及开发人员缺少安全设计、安全编码、开发安全的意识和安全编码能力等原因,软件漏洞数量不断增加,漏洞的严重程度不断加深,给软件系统的稳定可靠运行和信息数据的安全带来严峻挑战。软件安全开发生命周期通过引入一系列的安全技术控制点来降低软件开发过程中的漏洞数量,从而提升金融业务系统的安全特性。本文对软件安全开发生命周期进行介绍,分析其实践效果,并思考安全开发在金融行业应用的可行性。

浅谈网络安全体系下的软件安全开发人才培养

软件安全开发是近年来我国网信行业积极实践的网络安全保障措施,旨在软件系统开发过程中降低安全漏洞的存在。然而,软件安全开发人才匮乏是当前实践面临的关键问题。文章依据行业有关软件安全开发人员岗位和技能的典型要求,介绍在当前网络安全体系下培养软件安全开发人才的关键思路和核心内容,最后说明在软件安全开发人才培养方面获得的初步成效。

论能源企业信息系统安全源头的软件需求实践

2017年"勒索病毒"在世界范围内两次爆发后,包括美国、英国等百余个国家均遭受大规模攻击,同时,银行、高校、能源企业也遭到了大面积攻击。能源企业作为国家生产保障重点企业,为避免国家财产、企业生产再次受到严重损害,应从源头上进行安全防护和管理。本文通过对信息系统安全的建设源头——"软件需求管理"为切入点进行分析论述,最后提出了构建信息系统安全开发模式的重要性以及具体做法。

保险企业SDL安全平台建设

本文通过阐述保险企业SDL安全平台的建设和组成,系统介绍了企业应用开发安全所面临的痛点和挑战,从应用开发安全技术管理制度和流程、安全工具和知识库、应用安全平台建设、人员安全技术能力提升等方面进行系统阐述。聚焦保险行业应用开发安全控制要点和未来工作重点,进而阐明保险企业的应用开发安全平台建设思路。

DevSecOps在数字政府建设中的实践研究

政务业务系统作为数据的重要载体,往往是最重要的攻击对象,而政府的安全建设更加关注合规要求,通过安全产品和安全服务保障业务运行,应用内生安全被忽视.为适应当前数字政府的高安全要求,符合当前数字政府集约化建设的场景,需要将安全左移,关注供应链和应用内生安全,政府的信息化项目建设模式需要将开发工作前置,安全需要与研发过程紧密结合.DevSecOps作为新兴起的安全开发模式开始涉足数字政府应用开发领域.基于DevSecOps赋能的应用开发安全体系可以改进开发流程,降低安全修复成本,缩短开发周期,大大提升数字政府应用安全水平。

S-SDLC影响因素分析

近年来,国内有大量互联网企业开始实施安全软件开发生命周期(S-SDLC)。高安全软件的可用性较差,敏捷开发的连续性受限等反面效果阻碍了S-SDLC的推进。为了提高对S-SDLC的认同感和重视程度,面向安全负责人进行意见收集,根据安全基本属性和产品开发风险相关因素,使用层次分析法(AHP)进行评估分析,得出S-SDLC流程步骤是S-SDLC落实过程中的最大影响因素。最后进行案例分析,对某企业的S-SDLC落地实施进行改进。