如何评价安全开发人的生命周期5个阶段sdl实施效果

来源:蜘蛛抓取(WebSpider) 时间:2017-10-01 07:39 标签: 人的生命周期5个阶段

软件大小:1.23 MB更新时间:

软件授权:免费版软件类型:国外软件

软件类别:电脑教程语言:简体中文

  在Microsoft SDL Progress Report这份报告中您将了解微软安全开发人的生命周期5个阶段(SDL)和微软巳在使用SDL和安全科学、减轻微软的软件和服务的威胁方面取得的进展以及演变。(2004 - 2010年)

  支持的操作系统:所有可以阅读PDF的平台

  这是┅份中文PDF文档,在PC或MAC上您可使用或打开阅读。

  界面语言:简体中文

前面在学习使用google的protobuf时在VS2012中一直无法编译编译通过经过查找一些资料原来发现,并不是protobuf的问题而是自己在使用VS2012时,没有完全了解VS2012的强大功能和跟以前VS2010的差别,导致无法编译通过

现在就来说说为什么没有编译通过,在VS2012创建项目时会有一个勾选项,叫做“安全开发人的生命周期5个阶段(SDL)检查”这個东西是微软在VS2012新推出的东西,为了是能更好的监管开发者的代码安全如果勾选上这一项,那么他将严格按照SDL的规则编译代码会有一些以前常用的函数无法通过编译,比如在VS2010中的scanf是warning那么在VS2012中就是error了

查看MSDN中对SDL的描述,SDL检查会视以下告警为错误:

一元负运算符应用于无符號类型从而导致无符号结果。

一个负整型常数转换为无符号类型从而导致一个可能无意义结果。

初始化变量的代码不会执行

使用未初始化的局部变量。

对一个潜在的未初始化的局部指针变量的使用

当使用时,请缓冲区溢出特定 C 运行时 (CRT) 函数

也就是在编译的时候,当SDL檢查启用时编译器会严格检测缓冲区的溢出,并且会在delete某个指针时自动为这个指针定义一个非有效的值,防止在delete以后仍用到这个指针時出错还有就是会在你定义一个对象时,自动为这个对象赋值零

从这些功能来看,有些功能还是不错的不但方便了程序员使用也增強了程序的健壮性,但是对老版本程序的兼容就会出现问题以前程序中编译通过的内容也许在VS2012中就没有办法通过,还是大家根据自己的習惯自行考虑是否使用这个东西吧

另:还有一个选择打开和关闭SDL检查的位置就是:项目属性->配置属性->C/C++->SDL检查,选测是或者否

    微软的安全开发人的生命周期5个階段(SDL)已经实施了十年了这段时间里发生了很大的变化。在过去的十年中互联网使用人口已经由约3亿5千万增长到超过24亿。现在开发人員的机会比以往任何时候都要多。Windows 8仍然相对较新云尚处于采用的早期阶段,而新型的移动设备和平台已经出现了迅猛发展虽然互联网創造了许多处理业务的全新机会和方法,但是它也为网络犯罪创造了地下温床安全漏洞所引发的财务问题、知识产权损失、网站篡改和間谍活动已成为现在计算领域所面临的现实。

许多开发人员他们普遍认识到了安全开发的重要性尽管如此,有证据表明大多数组织仍嘫没有将安全开发采纳为基础业务原则。最近微软对全球2200多名专业人员和490名开发人员进行了调查调查发现,只有37%的专业人员声称他们的組织在提供产品和服务时考虑安全问题此外,61%的开发人员没有利用已存在的缓解技术如ASLR、SEHOP和DEP等。多年来这些缓解技术一直是免费向業内提供的,并且经常作为现有开发实践的简单补充―但是现在仍然只有少数开发人员在利用这些技术所有使用互联网的人都应该对此感到担忧。
    此外调查显示,阻碍各组织采用安全开发流程的最大障碍为:


    在安全开发大会上微软和其他组织正采取措施消除这些障碍,并为缩小在采用安全开发方面的差距提供帮助
    管理审批―标准化和遵从性有助于克服许多涉及管理审批的障碍。国际标准化组织(ISO)和国際电工委员会(IEC)认识到了关于安全开发流程标准化的必要性并发布了ISO/IEC 27034-1这个新的国际标准是同类中首个将重点放在构建全面的安全程序时,所必需的流程和框架的标准
    ISO/IEC 27034-1是朝着安全的正确方向迈出的重要一步,并且为各个组织开创了许多可能性微软认识到了这一安全开发方媔的重要里程碑并于今天通过其《符合性声明》宣布微软的安全开发人的生命周期5个阶段(安全开发人的生命周期5个阶段(SDL))遵守ISO 27034-1。我们希朢能够通过公开遵守这一标准而成为其他企业看齐的榜样从而为安全开发做出贡献。
    对于从事软件开发或销售的企业这一标准为安全開发实践提供了一种通用验证语言,为采用安全开发框架提供了明确而简单的大纲并且能够在市场上成为竞争优势。
    对于从供应商手中購买软件和服务的客户这一标准为要求进行跨行业、跨平台和跨地区安全开发的购买者提供了一种“语言”
网站上提供免费的可和指南,其中包括敏捷的安全开发人的生命周期5个阶段(SDL)、威胁建模工具和攻击面分析器以帮助实现安全开发人的生命周期5个阶段(SDL)流程的自动化並对其进行增强、提高效率以及实现安全开发人的生命周期5个阶段(SDL)实施的易用性。为帮助实施微软的合作伙伴网络包括许多成员,他们致力于帮助客户采用基于 安全开发人的生命周期5个阶段(SDL) 的安全开发实践除这些资源外,优秀代码软件保证论坛 (SAFECode) 今天发布了关于安全开发嘚新免费在线培训课程
    成本―最后,IT专业人员和开发人员声称成本是采用安全开发框架的主要障碍。但是说实话安全产品并不是实施该流程所带来的唯一好处―编写安全代码实际上也会节省成本。Aberdeen Group的研究也表明采取“从源头保证安全”(类似于微软安全开发人的生命周期5个阶段(SDL))策略的公司,其每年在应用安全方面的投资可实现高达4倍的收益Forrester再次证实了这一发现,声称采用了安全开发人的生命周期5个阶段(SDL)的企业明确报告其ROI明显好于整体水平
现在,随着应用数量的不断增长开发人员不会无事可做。而且开发人员所面临的竞争也佷激烈每一种新的软件产品和应用都必须和竞争对手进行战斗。以前我们遇到过这种情况而安全则过于频繁地让位于率先投入市场的商业压力或与令人惊叹的功能相抵触。但是这次我希望情况能有所不同不幸的是,网络犯罪是非常真实和普遍的威胁而其可能带给个囚和组织的影响也为我们所熟知。因此使用软件的组织必须要求软件产品更加安全,开发人员则必须实施安全开发以满足此要求并保歭竞争力。

我要回帖

更多关于 人的生命周期5个阶段 的文章

 

随机推荐