正在阅读:

金融科技SDL安全设计checklist

10,292

SDL安全设计checklist,属于金融科技SDL安全开发生命周期系列里面很重要的一个篇章。金融科技的产品线广,业务复杂,既有2B的业务,也有2C的业务,既有传统的资金业务,也有新技术广泛应用的消费金融业务、产业链金融业务,第三方支付业务。

很多的网络安全事件告诉我们,代码层面的安全多数是由于代码业务逻辑判断不严谨、输入校验不完善、身份校验缺失、异常处理不合理、访问控制不严谨,以及配置不善等因素引起的。其实,主要是缺乏将安全设计融入到软件开发生命周期中,以及未做好严格的项目流程安全控制。

正是因为我们的业务涉及资金,正是因为我们的业务涉及客户数据,正是因为我们的业务涉及合规,正是因为我们的业务广泛运用新技术,所以,迫切需要一个安全设计最佳实践来指导软件项目的安全落地,SDL安全设计checklist应运而生了。

一、前言

2017年12月5日,金融科技SDL安全设计Checklist正式对外发布,版本为1.0。将采用持续迭代开发的方式发布SDL安全设计CheckList。

金融科技SDL安全设计checklist是一本关于开发人员、运维人员针对软件项目安全设计、安全编码、安全运维的行动指南。行动指南将贯穿软件开发生命周期各个阶段,包含需求、设计、编码实现、测试和上线发布各阶段,针对编码设计中的输入验证、输出编码、身份认证、异常处理、会话管理、访问控制、权限控制、敏感信息、运行环境、以及常见web安全防护等内容做了详细的安全设计约束。

SDL安全设计checklist将是安全设计的最佳实践,愿伴随开发、运维人员一起做好安全设计和安全实现!

确保安全是金融科技发展的生命线!

——中国互联网金融协会会长李东荣

二、SDL安全设计checklist目的

1、 安全设计和安全编码

指导开发人员安全设计和安全编码实现,提高安全质量

2、安全测试

指导测试人员安全测试:提供测试案例参照与测试结果校验

3、安全配置

指导运维人员安全配置:面向操作系统、中间件、数据库等进行安全配置

三、SDL安全设计checklist的意义

在软件开发生命周期各个阶段,均执行相应阶段的安全控制任务,不将安全隐患带入下一阶段,以减少后期不可预见的安全问题和安全事件。

在软件开发期间的安全建设成本远远小于后期的安全维护成本!

四、SDL安全设计checklist的内容

内容涵盖输入验证、输出编码、身份认证、异常处理、会话管理、访问控制、接口调用、权限控制、敏感信息、运行环境、以及常见web安全防护等。

SDL安全设计

原文地址:https://mp.weixin.qq.com/s/MR3SmOLj834LK4RBMcZ2pg

目前有:2条访客评论

  1. lz
    2018-03-23 19:08

    在学渗透。不过很多不懂。能大神交流下不。15879440889 微信

  2. hhhhh
    2018-06-29 16:57

    如果大家都能严格遵守这份list开发,搞渗透的就要没有活路了

留下脚印,证明你来过。

*

*

流汗坏笑撇嘴大兵流泪发呆抠鼻吓到偷笑得意呲牙亲亲疑问调皮可爱白眼难过愤怒惊讶鼓掌