除了SDL,还有一种软件安全开发方法就是内建安全,也就是将安全内建到软件开发过程中,而不是可有可无,更不是游离于软件开发生命周期之外,即Build Security In,简称BSI。
BSI旨在为软件开发人员、架构师和安全从业者提供实践工具、指导方法和其他资源,以便其在开发的每一个阶段使用BSI方法来构建安全软件。
BSI可以作为软件安全保障计划的一部分,最大程度地减少软件漏洞,提高可信软件产品的开发和部署能力。
BSI强调与开发流程无关,而是在每一个开发阶段通过一些关键的安全接触点来保证软件开发的安全性,从而实现在整个软件开发生命周期中既保证软件安全,又超脱于具体的开发模型。
BSI系列模型强调应该使用工程化的方法来保证软件安全,即在整个软件开发生命周期中都要确保将安全作为软件的一个有机组成部分。
软件安全的三根支柱是风险管理、软件安全接触点和安全知识。其中,风险管理是一种战略性方法,即将减轻风险作为一种贯穿整个生命周期的指导方针;软件安全接触点指结合软件开发生命周期中的一套轻量级最优工程方法,综合考虑软件安全的两个方面-攻击与防御,从不同角度提供安全的行为方式;安全知识强调对安全经验和专业技术进行收集汇总,对软件开发人员进行培训,并通过安全接触点实际运行到项目过程中。
BSI是在软件生命周期的每一个开发阶段尽可能地避免和消除漏洞,因而实施BSI无须改变已有软件开发方法,它适用于各种软件开发模型。
我们的微信
我们的微博