application-security

# 应用程序安全与安全 SDLC ## 安全软件开发生命周期 (SDLC) ### SDLC 各阶段的安全活动 ┌─────────────────────────────────────────────────────────────┐ │ 需求阶段 │ ├─────────────────────────────────────────────────────────────┤ │ □ 安全需求收集 │ │ □ 隐私影响评估 │ │ □ 合规性需求 (GDPR, HIPAA, PCI-DSS) │ │ □ 数据分类 │ │ □ 滥用案例开发 │ └─────────────────────────────────────────────────────────────┘ ↓ ┌─────────────────────────────────────────────────────────────┐ │ 设计阶段 │ ├─────────────────────────────────────────────────────────────┤ │ □ 威胁建模 (STRIDE, PASTA) │ │ □ 安全架构评审 │ │ □ 包含信任边界的数据流图 │ │ □ 身份验证/授权设计 │ │ □ 加密和密钥管理设计 │ │ □ 安全控制选择 │ └─────────────────────────────────────────────────────────────┘ ↓ ┌─────────────────────────────────────────────────────────────┐ │ 开发阶段 │ ├─────────────────────────────────────────────────────────────┤ │ □ 开发人员安全编码培训 │ │ □ IDE 安全插件 (例如 SonarLint) │ │ □ 提交前钩子 (Pre-commit hooks，扫描密钥) │ │ □ 以安全为重点的代码评审 │ │ □ SAST (静态应用程序安全测试) │ │ □ SCA (软件成分分析) │ │ □ 安全功能的单元测试 │ └─────────────────────────────────────────────────────────────┘ ↓ ┌─────────────────────────────────────────────────────────────┐ │ 测试阶段 │ ├─────────────────────────────────────────────────────────────┤ │ □ DAST (动态应用程序安全测试) │ │ □ 渗透测试 │ │ □ 安全测试用例执行