当前位置:主页 > 云主机 > 正文

消息队列_nas服务器_最新活动

时间:2021-05-04 13:27 来源:埃里克云 编辑:埃里克云

核心提示

自从2002年2月比尔·盖茨(Bill Gates)给微软员工的著名备忘录以及2003年微软安全开发生命周期(Security Development Lifecycle,SDL)的形成以来,关于这个话题的讨论和写作已经很多了[6]。...

消息队列_nas服务器_最新活动

自从2002年2月比尔·盖茨(Bill Gates)给微软员工的著名备忘录以及2003年微软安全开发生命周期(Security Development Lifecycle,SDL)的形成以来,关于这个话题的讨论和写作已经很多了[6]。是时候呼吁改变方向了:安全必须成为软件开发生命周期的一个组成部分!不久之后,受微软倡议的启发,我们开始塑造SAP的安全软件开发生命周期(SAP Secure SDL)[1]。我们创建了SAP产品标准安全,包括所有应用程序开发部门的安全要求,我们为产品开发中的所有角色添加了全面的安全教育,安全风险评估方法(威胁建模),安全编码指南,一整套安全测试工具[7],central安全验证[8],然后才能释放代码和安全响应[5]。在不断发展、完善和改进我们的安全SDL的同时,开放式Web应用程序安全项目(OWASP)[9]、卓越代码软件保障论坛(SAFECode)[10]以及其他我们纳入和贡献的有用外部资源。

2011年,ISO/IEC 27034-1[4]作为一项国际标准,将安全风险管理应用于应用软件和应用程序安全管理过程,作为非常成功的ISO/IEC 27000[2]系列信息安全管理标准的一部分。与我在SAP的团队一道,我们非常感兴趣地研究并关注了它,我认为它仍然是一个很好的文档,介绍了应用程序安全控制(ASC)、ASC库的概念以及不同信任级别的概念,组织必须彻底而透明地思考、定义,在为过程架构师提供一个优秀的概念蓝图和参考的同时,ISO/iec27034-1引入的框架和概念仍然是高度人工的,很难映射到日常实践中,然而这也是我们痛苦地学习到的。对于评估流程成熟度和进一步识别SAP安全SDL中的差距和改进潜力,它没有起到任何帮助,因为它遗漏了构成当今最先进技术的具体实际控制的描述和列表。

然后我看到了NIST白皮书(草稿),"通过采用安全软件开发框架降低软件漏洞风险"[0]于今年6月发布。由于SAP已经将其安全操作和流程与NIST先前发布的"NIST改善关键基础设施网络安全框架"[2]保持一致,我很想看看这个新文档是否对安全软件开发(我的专业)更具体,我总是发现另一个NIST文档很好,但不够具体。我迫不及待地接受挑战,根据这个新的参考来衡量我们的SAP Secure SDL,所以我跳了起来。在下一节读我的发现。

我越读草稿,印象就越深刻。我认为,这份文件可以成为企业评估其软件供应过程中应用的安全控制的完整性、质量和成熟度的真实参考和基础。与[2]类似,作者首先提出了一组安全软件开发的实践,从而突出了推荐操作的不同领域,并为解决总体挑战提供了一个有用的结构。在这些小组中列出和描述的所有实践都有一个明确的编号和标识,它们属于哪一组活动,这有助于讨论它们的目的和目标:

PO:准备组织PS:保护软件PW:生产安全可靠的软件RV:回应漏洞报告

我忍不住,立即开始编辑一个表格,将列出的做法与我们在SAP的做法进行比较。如果你对更多细节感兴趣的话,你可以在这个博客的末尾找到一个简短的版本作为参考。但细读会让这本书读得很长。所以,让我总结一下我的主要发现。

准备组织

从一个很好的话题开始。如果您的组织没有准备好在日常软件开发和供应过程中理解、生活和操作安全性,那么许多良好的意图、精力和投资将以痛苦的方式流失,失败是有保证的。NIST草案文件提到了要求的基本要素:

要求(PO.1)必须清楚、透明地记录、维护、传达,并使属于开发团队的每个人都可以访问。在SAP,我们通过SAP产品标准安全、产品和场景级威胁建模来实现这一点。为了开发安全的软件,一个组织需要明确组织中的角色(PO.2),定义每个角色的职责,教育和授权。在SAP,除了为常规的开发人员教育和管理职责增加安全性之外,我们还在全球工作目录中引入了专门的支持角色,如开发人员专家安全性、开发架构师安全性和质量专家安全性。获取、部署、持续评估和更新自动化的工具链(PO.3)以支持安全的应用程序开发,对于处理数百万行代码的安全性来说是必不可少的。在SAP,我们每天和定期使用多种工具来帮助验证代码的安全状态,包括静态应用程序安全测试(SAST)和动态应用程序安全测试(DAST)技术[7],以及交互式安全测试工具。将这些工具集成到用于持续集成和交付(CI/CD)的自动化管道中是关键,例如在云业务中。此外,一个安全的软件开发生命周期必须包括明确定义的有意义的安全检查(PO.4)才能在实践中有效。从左到右,比如说,在敏捷模式下的每一个sprint都会发生一些事情,有威胁建模和安全体系结构,还有SAP的设计审查,sprint审查的是安全测试结果,自动化管道中的自动化安全阈值和在向客户实际发布代码之前由中央专家组进行的强制性安全验证[8]。

保护软件

NIST文件中的下一组实践:您希望确定哪些内容准确地发送给客户进行内部安装,进入移动应用商店,或作为云服务提供。

  • 企业网站_新白娘子传奇百度云_折扣 企业网站_新白娘子传奇百度云_折扣

    你好,社区, BSI TaxFactory和TaxFactory SaaS发布版本11.0可用。 在我们的合作伙伴BSI将其产品/产品BSI TaxFactory 10.0的维护延长至2021年4月30日之后。SAP还决定在2021年4月30日之前为BSI TaxFactor...

  • 消息队列_华云服务器_限量秒杀 消息队列_华云服务器_限量秒杀

    啊。我已经很久没在这里写博客了-对不起? 但这是一个很好的机会让我重新上马,这是我与SAP TechEd Barcelona的SAP社区负责人Craig Cmehil的"无采访视图"(无采访视图就像一次真正的采访...

  • <strong>域名备案_查看数据库密码_怎么样</strong> 域名备案_查看数据库密码_怎么样

    在本文中,我们将看到如何在sapcloudfoundry环境中为Spring启动应用程序配置OAuth2授权。但是在这样做之前,让我们先熟悉一下这个实现中涉及的几个重要概念。 简介 OAuth2–是一个授权框...

  • <strong>MySQL数据库_网站cdn_多少钱</strong> MySQL数据库_网站cdn_多少钱

    您已经听说了SAP Graph在SAP TechEd Las Vegas 2019发布的消息。微软Graph也非常棒,非常相似(哲学上+技术上),它不仅非常有用,而且我会给你一个微软Graph的工作示例/教程,让你了解它,...

  • 京东云_网站建设中页面_学生机 京东云_网站建设中页面_学生机

    在可预见的未来,向S/4HANA过渡的公司特定规划已将每个SAP客户列入其议程。S/4HANA实施项目越来越近了,因此也有一个问题:在技术和开发层面必须做哪些准备?正是这个主题是"S/4H...

  • <strong>天翼云_网站服务器失去响应怎么回事_代</strong> 天翼云_网站服务器失去响应怎么回事_代

    大家好, 欢迎来到一个关于用户浏览器没有启用JavaScript的用户体验主题的简短博客。 考虑到1%的设计理念,如果我们考虑那些禁用或不可用JavaScript的浏览器的用户(出于"天知道为什...

  • <strong>对象存储_网站建设外贸_速度快</strong> 对象存储_网站建设外贸_速度快

    在本文中,我将展示如何通过负载平衡器为我们的生产数据库构建一个具有高可用性的HANA驾驶舱。我建议您开始阅读SAP指南HowTo:High Availability for SAP HANA cockpit using SAP HANA system replicat...

  • <strong>中间件_重庆网站建设策划_促销</strong> 中间件_重庆网站建设策划_促销

    SAP Customer Data Cloud在9月份推出了许多功能。如果你错过了这些,下面是我们9月份发布的几个亮点。 与苹果公司登录:苹果公司已经发布了使用苹果ID登录应用程序的选项。他们甚至规...

  • 消息队列_马云御任阿里巴巴_年度促销 消息队列_马云御任阿里巴巴_年度促销

    本周在拉斯维加斯TechEd看到的创新给我留下了非常深刻的印象。今年似乎出现了比过去更多的业务倾斜。主要的宣布是我们可以通过业务技术平台扩展SAP应用程序 HANA云服务(HCS)是业...