SDL 74/100问:有没有SDL相关的监管要求?
严格意义来讲,还没有监管对软件开发提出过单独的要求,但是有软件开发安全相关的标准,比如:《应用软件安全编程指南》提出应用软件安全编程的通用框架,《代码安全审计规范》规定代码安全的审计过程以及典型审计指标,《软件安全开发能力评估技术规范》包含软件安全开发能力成熟度模型(SSDCMM)等。
不过在未来,还真有可能出现类似的监管要求,因为网络安全发展肯定是逐步往左移、会更进一步精细化到软件研发生命周期中。
1、SDL 100问
SDL100问:我与SDL的故事
SAST误报太高,如何解决?
SDL需要哪些人参与?
SDL如何做成平台化以及价值?
安全SDK提供安全API是怎么做的?
安全测试,测不出逻辑漏洞怎么办?
如何逐步建设XAST安全测试工具?
如何设计安全开发平台的架构和功能?
大家都有哪些SDL运营指标?
业务系统是否可以带漏洞上线?
按千行代码漏洞数进行量化,如何制定指标?
如何定位安全与业务的关系?
SDL 73/100问:如何定位安全培训?
2、SDL创新实践
首发!“ 研发安全运营 ” 架构研究与实践
DevSecOps实施关键:研发安全团队
DevSecOps实施关键:研发安全流程
DevSecOps实施关键:研发安全规范
DevSecOps实施关键:研发安全工具
从安全视角,看研发安全
数字化转型下研发安全痛点
一个思考:安全测试驱动产品安全?
3、SDL最初实践
【SDL最初实践】开篇
【SDL最初实践】安全培训
【SDL最初实践】安全需求
【SDL最初实践】安全设计
【SDL最初实践】安全开发
【SDL最初实践】安全测试
【SDL最初实践】安全审核
【SDL最初实践】安全响应
4、软件供应链安全
软件供应商面临的攻防实战风险
软件供应商实战对抗十大安全举措
软件供应商攻防常规战之SDL
软件供应链投毒事件应急响应
浅谈企业级供应链投毒应急安全能力建设
5、安全运营实践
基于实践的安全事件简述
安全事件运营SOP:钓鱼邮件
安全事件运营SOP:网络攻击
安全事件运营SOP:蜜罐告警
安全事件运营SOP:webshell事件
安全事件运营SOP:接收漏洞事件
应急能力提升:实战应急困境与突破
应急能力提升:挖矿权限维持攻击模拟
应急能力提升:内网横向移动攻击模拟
应急能力提升:实战应急响应经验