2022年CISP教材知識點(diǎn)整理：軟件安全開發(fā)生命周期模型

CISP共有共包括信息安全保障、信息安全技術(shù)、信息安全管理、信息安全工程和信息安全標(biāo)準(zhǔn)法規(guī)五個知識類，希賽網(wǎng)CISP教材大綱欄目，為大家整理了CISP知識點(diǎn)梳理，詳情如下：‘

10.1知識子域：軟件安全開發(fā)生命周期

10.1.3 軟件安全開發(fā)生命周期模型

軟件安全開發(fā)涵蓋軟件的整個生命周期

安全軟件開發(fā)生命周期（Secure Software Development Lifecycle，SSDL）是一種強(qiáng)調(diào)具有安全設(shè)計和安全措施的軟件生命周期，即通過軟件開發(fā)的各個步驟來確保軟件的安全性，其目標(biāo)是最大限度地確保軟件的安全

據(jù)數(shù)據(jù)表明，在軟件發(fā)布后對安全漏洞的修復(fù)所需的成本至少是在軟件設(shè)計和編碼階段就進(jìn)行修復(fù)的30倍

1.SDL（安全開發(fā)生命周期）

SDL基于3個核心概念：教育、持續(xù)過程改進(jìn)和責(zé)任

SDL將軟件開發(fā)生命周期劃分為7個階段，并提出了17項重要的安全活動

棄用不安全的函數(shù)，屬于實現(xiàn)（實施）階段

（1）培訓(xùn)

（2）需求

（3）設(shè)計

（4）實現(xiàn)

（5）驗證

（6）發(fā)布

（7）響應(yīng)

2.CLASP（綜合的輕量級應(yīng)用安全過程）

由安全軟件公司（Secure Software，Inc）提出，后來由開放Web應(yīng)用安全項目（The Open Web Application Security Project，OWASP）完善、維護(hù)并推廣

3.CMMI（軟件能力成熟度集成模型）

CMMI的5個級別

（1）CMMI Level 1，初始級

（2）CMMI Level 2，可管理級

（3）CMMI Level 3，已定義級

（4）CMMI Level 4，量化管理級

（5）CMMI Level 5，優(yōu)化管理級

CMMI的每個等級都由幾個過程域組成，這幾個過程域共同形成一種軟件過程能力

每個過程域都由一些特殊目標(biāo)和通用目標(biāo)

當(dāng)一個過程域的所有特殊實踐和通用實踐都按要求得到實施，就能實現(xiàn)該過程域的目標(biāo)

4.SAMM（軟件保證成熟度模型）

軟件保證成熟度模型（Software Assurance Maturity Mode，SAMM）

SAMM規(guī)定了4個軟件開發(fā)過程中的核心業(yè)務(wù)功能，包括治理、構(gòu)造、驗證以及部署

4個業(yè)務(wù)功能各包括了3個安全實踐

（1）治理：策略與指標(biāo)、教育與指導(dǎo)、政策與遵守

（2）構(gòu)造：安全需求、威脅評估、安全架構(gòu)

（3）驗證：設(shè)計審核、安全測試、代碼審核

（4）部署：環(huán)境強(qiáng)化、漏洞管理、操作啟用

5.BSIMM（BSI成熟度模型）

BSI成熟度模型（Building Security In Maturity Model，BSIMM）

6.各軟件安全開發(fā)模型的特點(diǎn)

BSI認(rèn)為軟件安全有3根支柱：風(fēng)險管理、軟件安全接觸點(diǎn)和安全知識

Gary McGraw

注：以上內(nèi)容來源于網(wǎng)絡(luò)，如有侵權(quán)，可聯(lián)系客服刪除