【SDL实践指南】安全需求收集整理

2023-03-29 14:07:49 浏览数 (2)

基本介绍

在软件开发的生命周期中需求收集和需求分析占据着很重要的地位,产品经理需要确保通过多种渠道收集和汇总后的产品需求的完善程度,同时也需要在需求分析阶段结合产品功能特性、自身从业经验等多方面筛选有价值的需求,辨别需求的真伪,为后期产品步入正常的开发测试部署上线运维阶段打下坚实的基础 在企业的SDL安全建设过程化中需求收集和需求分析阶段还需要加入的一个关键点就是——Security,如果产品在一开始的需求收集和需求分析阶段只考虑了产品形形色色的功能实现而忽略了安全需求或者需求本身的安全问题,那么在产品上线后将随着时间的推移不断涌现各种安全问题,甚至给产品带来灭顶之灾并最终导致产品下线重构等风险,所以在产品需求收集和需求分析阶段加入安全需求活动至关重要

安全考量

软件开发过程中的安全需求主要从以下三个方面进行考虑:

  • 法律法规:从法律法规角度检查在软件需求分析阶段是否有可能牵涉的法律法规需求问题未考虑到
  • 隐私安全:从隐私安全角度检查在软件需求分析阶段是否有考虑到用户使用软件产品时的隐私安全
  • 业务安全:从业务安全角度检查软件需求分析阶段是否有考虑到软件自身业务功能设计的安全问题

备注:这里只考虑软件开发过程中涉及到的安全问题,不涉及主机安全、中间件安全、部署安全等问题

安全评审

软件产品业务功能如果涉及以下问题则需要进行安全需求评审:

安全需求

下面给出了一个安全需求检查列表,该列表最初由产品团队根据项目需求来确定是否涉及/豁免相关的安全需求并与安全团队进行确认,之后由开发团队完成一系列的功能开发,然后交由测试团队和安全团队分别完成功能测试和安全测试,最终形成一个闭环,当然在不同公司不同项目中业务不同安全需求也各有不同,结合项目和具体常见按需设计即可:

文末小结

需求收集和需求分析阶段安全需求格外重要,通过深入挖掘产品需求了解业务,识别风险,完成安全需求的梳理并输出最终的安全需求CheckList,从而将安全需求加入产品研发周期,纵深提高产品自身的安全能力

0 人点赞