CISP共有共包括信息安全保障、信息安全技术、信息安全管理、信息安全工程和信息安全标准法规五个知识类,希赛网CISP教材大纲栏目,为大家整理了CISP知识点梳理,详情如下:‘
10.1知识子域:软件安全开发生命周期
10.1.3 软件安全开发生命周期模型
软件安全开发涵盖软件的整个生命周期
安全软件开发生命周期(Secure Software Development Lifecycle,SSDL)是一种强调具有安全设计和安全措施的软件生命周期,即通过软件开发的各个步骤来确保软件的安全性,其目标是最大限度地确保软件的安全
据数据表明,在软件发布后对安全漏洞的修复所需的成本至少是在软件设计和编码阶段就进行修复的30倍
1.SDL(安全开发生命周期)
SDL基于3个核心概念:教育、持续过程改进和责任
SDL将软件开发生命周期划分为7个阶段,并提出了17项重要的安全活动
弃用不安全的函数,属于实现(实施)阶段
(1)培训
(2)需求
(3)设计
(4)实现
(5)验证
(6)发布
(7)响应
2.CLASP(综合的轻量级应用安全过程)
由安全软件公司(Secure Software,Inc)提出,后来由开放Web应用安全项目(The Open Web Application Security Project,OWASP)完善、维护并推广
3.CMMI(软件能力成熟度集成模型)
CMMI的5个级别
(1)CMMI Level 1,初始级
(2)CMMI Level 2,可管理级
(3)CMMI Level 3,已定义级
(4)CMMI Level 4,量化管理级
(5)CMMI Level 5,优化管理级
CMMI的每个等级都由几个过程域组成,这几个过程域共同形成一种软件过程能力
每个过程域都由一些特殊目标和通用目标
当一个过程域的所有特殊实践和通用实践都按要求得到实施,就能实现该过程域的目标
4.SAMM(软件保证成熟度模型)
软件保证成熟度模型(Software Assurance Maturity Mode,SAMM)
SAMM规定了4个软件开发过程中的核心业务功能,包括治理、构造、验证以及部署
4个业务功能各包括了3个安全实践
(1)治理:策略与指标、教育与指导、政策与遵守
(2)构造:安全需求、威胁评估、安全架构
(3)验证:设计审核、安全测试、代码审核
(4)部署:环境强化、漏洞管理、操作启用
5.BSIMM(BSI成熟度模型)
BSI成熟度模型(Building Security In Maturity Model,BSIMM)
6.各软件安全开发模型的特点
BSI认为软件安全有3根支柱:风险管理、软件安全接触点和安全知识
Gary McGraw
注:以上内容来源于网络,如有侵权,可联系客服删除
