cryptography - 您采用哪种安全软件开发实践?

标签 cryptography static-analysis security

我正在Microsoft(http://microsoft.com/sdl)从事一个称为安全开发生命周期(SDL)项目的项目-简而言之,产品组在交付产品以帮助提高安全性之前必须使用这套实践。

在过去的两年中,随着客户要求我们提供更多信息,我们发布了许多SDL文档。

但是我想知道的是:

  • 您在组织内正在做什么以帮助提高产品的安全性?
  • 什么有效?什么不起作用?
  • 您如何使管理层同意这项工作的?

    • 谢谢。

    最佳答案

    老实说,阅读your book是一个好的开始。 :-)

    回答您的问题:

  • 加密是我的一个业余爱好,我有时在博客中介绍(例如,在TLSAES上)。在编写了自己的AES实现之后,我学到了足够的知识,毫无疑问地知道,我永远不要使用自己的实现,而应该使用CryptoAPI和OpenSSL编写的实现。
  • Code reviews将擅长于安全性问题的人员标记为必需。
  • 在实验室上课,以提高对您书中提到的问题以及讨论新问题的内部邮件列表的认识。
  • 好几个人都在听Security Now podcast,以了解最新的问题类型和受到的攻击。这间接影响设计。
  • 除了现场类(class)和购买代码审查工具外,所有这些都不需要管理人员的批准。

    • 关于cryptography - 您采用哪种安全软件开发实践?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/2554734/

    上一篇:pdf-generation - 使用wkhtmltopdf时如何设置目录的位置

    下一篇:java-8 - java8流分组和聚合总和排序

    相关文章:

    security - Key Vault 中的证书身份验证

    java - 静态分析以从java中的根目录中找出所有引用的类

    c# - ASP.NET/C# 等同于用于 SQL 注入(inject)的 Microsoft 源代码分析器 (MSSCASI_ASP)?

    javascript - 在 axios 请求中包含密码的安全方法是什么?

    amazon-web-services - 在前端 javascript 中存储 aws cognito JWT key 不安全吗?

    ssl - 针对 HTTPS 的中间人攻击

    .net - GUID 的不可猜测性如何?

    ssl - 为什么要安装数字证书?

    ios - 奇怪的 Xcode 分析结果

    java - 从 Weblogic for Spring Security 获取安全角色

    ©2024 IT工具网  联系我们