使用简化SDL实施ISO27034
微软公司高级项目经理Jed Pickel 在安全发展大会的演讲中表示,采用微软提供的SDL(安全开发生命周期)方法可以用来帮助软件企业实施ISO27034。
简化的SDL方法
通过简化的SDL方法,企业可以有更简单明确的依据来保证安全流程和框架的可靠。相对而言,ISO27034-1一共有多达61页的文档内容,而简化的SDL方法用更清晰的7个步骤和17页文档来实现。
应用程序安全管理流程
在应用程序层面,安全管理流程从开发前的策划评估到开发过程中的管理和实施,都可以在简化的SDL中找到对应的步骤,在这里SDL方法给软件企业提供了清晰明确的参考依据。
开发安全性有标准有回报
在安全发展大会上,微软表示采用安全开发方法会带来企业的投入增加,但是长期来看,这个投入肯定比不做安全开发带来的后续支出要低。另一方面,有第三方报告称企业采用安全策略的投资回报比可达到1:4以上。
今天的企业通过互联网做生意时,如果不把安全放在首位是无法接受的。企业可以通过ISO27034-1这个标准来要求开发者确认已经实施了足够的安全开发措施。ISO27034还只是一个“婴儿”级别的标准,关于开发安全性的管理和规范还需要持续的改进和成长。但是,至少对软件企业和软件生态环境来说,在安全性方面借助这个国际标准已经走出了坚实的一步。
更多精彩内容
标签:操作系统
