基于SDL流程改动,融入到当前公司中即可
1.产品详评阶段,安全参与业务了解,以及业务安全分析,威胁建模。(也就是需求分析后的成品模型,对模型或工作流程进行详细评估)
2.产品编码阶段,需要白盒测试和黑盒测试(安全的黑白盒测试:白:代码审计  黑:从黑客角度尝试入侵),从上内测环境后,与功能测试同步做安全测试,Bug和安全漏洞
工期范围内同时修复,按理说,安全测试比功能测试会剩下很多时间,对于后续的功能迭代
3.内测环境安全漏洞修复没问题,到预发布环境再次验证,验证没问题,Go,几乎就不到生产环境去验证了。安全问题一般验证可能会影响生产环境,预发布验证玩,几乎就可以了
但是不排除那些高危漏洞。

基本流程大概就是:
详评----业务安全分析====>内测----安全黑白盒测试====>JIRA Bug管理平台跟踪修复状态====>验证修复的漏洞====>预发布环境验证====>本期安全漏洞总结,找几个典型例子,提醒开发以后注意.

每个公司具体的发布流程不一样,总体框架差不多如此。适应当前公司的工作流程即可,不影响开发和功能测试人员正常的计划就行。

点击收藏 | 0 关注 | 0
  • 动动手指,沙发就是你的了!
登录 后跟帖