CMMI和ISO27001的要求,来建设软件安全开发流程,并提升相应的软件工程能力是一个比较新的话题,熊会同学根据自己的实际经验,和大家分享了关于软件安全开发,行业内的一些可参考模型和优秀实践,对许多组织有很好的借鉴价值。”

丛博在“老丛讲桌”的文章“

CMMI认证,现在要过ISO27001,一定重建一份体系制度文档吗?答案是否定的。

交付符合安全要求的系统

分别纳入4 大

中。SSF(Software Security Framework)

(Software Assurance-Maturity Model)

IT公司和开发团队来规范应用程序开发流程和测试流程,提高WEB产品的安全性。顺便说一句,这个TOP 10很适合于给研发人员进行安全培训,以及进行代码安全静态扫描。

流程制定不要做成两张皮:说到做到,知行合一

注重对全员的安全意识培训

流程和先进工具的有机集合,能有效提升工程能力。

在整个软件开发生命周期中要确保将安全作为软件的一个有机组成部分,贯穿产品定义、需求、设计、开发、测试、发布、运维全过程。

软件安全是以风险管理为基础:安全不必是完美无缺,但风险必须是能够管理的。

最适宜的软件安全策略就是最优的风险管理对策。这是一个在有限资源前提下的最优选择问题。