安全软件生命周期之内容动机

发布时间：2025-12-07 20:54:34 作者：玩站小弟

内容动机从历史上看，有时现在，组织将其安全策略集中在网络系统级别，例如防火墙，并对软件采取了被动的方法。安全性，使用通常称为“渗透和修补”的方法。[5]通过这种方法，当产品通过尝试已知攻击的渗透测试完。

内容动机

从历史上看，安全有时现在，软件容动组织将其安全策略集中在网络系统级别，生命例如防火墙，周期之内并对软件采取了被动的安全方法。安全性，软件容动使用通常称为“渗透和修补”的生命方法。[5]通过这种方法，周期之内当产品通过尝试已知攻击的安全渗透测试完成时，可以评估安全性;或者，软件容动当组织成为已部署软件攻击的生命受害者时，会在发布后发现漏洞。周期之内在任何一种情况下，源码下载安全组织都会通过安全补丁查找和修复漏洞来做出反应。软件容动以下缺点在以被动方式处理网络安全时可能更为普遍：

• 违规行为代价高昂。生命根据对15个国家/地区的477家公司的研究，2018年Poneman Institute[4]报告称，美国和中东的违规成本平均为790万美元，中东为530万美元。印度和巴西的违规行为成本最低，但这些国家/地区每次违规行为的平均费用分别为180万美元和120万美元。违规造成的声誉损失很难量化。

• 攻击者可以在不被注意的模板下载情况下发现和利用漏洞。根据对15个国家/地区的477家公司进行的一项研究，2018年Poneman Institute[4]报告称，识别发生违规行为的平均时间为197天，查找和修复漏洞的平均时间为一旦检测到违规行为，还需要69天。

• 补丁可能会引入新的漏洞或其他问题。漏洞补丁被认为是紧急的，可以匆忙推出，亿华云可能会给系统带来新的问题。例如，Microsoft针对Meltdown1芯片漏洞的早期补丁在Windows7 2中引入了一个更严重的漏洞。新漏洞允许攻击者更快地读取内核内存并写入自己的内存，并可能允许攻击者访问在机器。

• 客户通常不应用补丁。用户和系统管理员可能不愿意应用安全修补程序。例如，OpenSSL中广为人知的Heartbleed3漏洞允许攻击者轻松，悄悄地利用易受攻击的系统，高防服务器窃取密码，cookie ，私有加密密钥等等。该漏洞于2014年4月报告;但在2017年1月，扫描显示仍有200 ，000台可访问的互联网设备未打补丁[7] 。一旦漏洞被公开报告，攻击者就会制定一种新的机制来利用该漏洞，因为他们知道许多组织不会采用该修复程序。

1998年，McGraw[5]主张超越渗透和补丁方法，基于他在DARPA资助的研究工作中的工作，服务器租用研究软件工程在软件漏洞评估中的应用。他认为，主动严格的软件分析应该在评估和防止应用程序中的漏洞方面发挥越来越重要的作用，因为众所周知的事实，即由于软件设计和编码错误而发生安全违规。2002年，Viega和McGraw出版了第一本关于开发安全程序的书，Building Secure Software[6]，重点是防止漏洞注入和降低安全性。源码库通过将安全性集成到软件开发过程中来承担风险。

在2000年代初期，攻击者变得更加激进，Microsoft成为这种侵略的焦点，暴露了其产品中的安全漏洞，尤其是Internet信息服务（IIS）。Gartner是一家领先的研究和咨询公司，很少建议其客户避开特定的软件，建议公司停止使用IIS 。为了回应客户的担忧和越来越多的负面新闻，当时的Microsoft首席执行官比尔·盖茨（Bill Gates）在一月份向所有员工发送了可信计算备忘录[2] 。2002年第15期。该备忘录也在互联网上广为流传。备忘录的摘录定义了可信计算：

“可信计算是我们所有工作的最高优先级。我们必须将行业引导到一个全新的计算可信度水平......可信计算是与电力、供水服务和电话一样可用、可靠和安全的计算。

可信计算备忘录引起了公司的转变。两周后，Microsoft宣布推迟发布Windows.NET Server [8]，以确保根据以下要求进行适当的安全审查（称为Windows安全推送）。Microsoft的可信计算计划在本备忘录中概述。2003年，Microsoft员工Howard和Le Blanc[9]公开出版了一本关于编写安全代码以防止漏洞，检测设计缺陷和实现的书的第二版错误，并改进测试代码和文档。在推送期间，Windows团队的所有成员都必须阅读第一版。

在随后的几年中，Microsoft改变了他们的开发流程，通过对从早期规划到产品生命周期结束的开发流程进行全面改革来构建安全产品。他们的产品包含的漏洞明显较少[9]。在内部使用该流程后，Microsoft编纂并贡献了他们的13阶段内部开发流程，即2006年名为《安全开发生命周期[3]》的书，将其Microsoft安全开发生命周期（SDL）提供给社区。正如盖茨的初衷一样，Microsoft SDL通过提供第一个记录在案的全面规范性生命周期，为信息技术行业奠定了基础。同样在2006年，McGraw出版了第一本关于软件安全最佳实践的书[10]。

正如本知识领域的其余部分所讨论的那样，组织建立在Microsoft以及Viega和McGraw奠定的基础上[6，5]。

Tag：

微软：超1万家企业遭受钓鱼攻击
微软表示，从2021年9月开始，已经有超过10,000个组织受到网络钓鱼攻击，攻击者会利用获得的受害者邮箱访问权进行后续的商业电子邮件破坏BEC）攻击。攻击者使用登陆页面欺骗Office在线认证页面，
2025-12-07
苹果升级数据保护功能，iCloud服务启用端到端加密备份
当地时间12月7日，苹果宣布了一系列安全措施，新增高级数据保护功能，可在iCloud服务中启用端到端加密E2EE）数据备份。该功能属于可选功能，预计今年年底前在美国推出。功能开启后，E2EE保护的数据
2025-12-07
2023年WAF技术应用的五个趋势
随着网络攻击的演进，Web应用防火墙WAF）的应用也在发生变化。企业组织部署WAF不仅要对网站进行保护，还要对逐渐普及的Kubernetes、微服务、API和无服务器部署等新兴应用进行保障和支撑。WA
2025-12-07
物联网时代，我们要面对什么样的挑战呢？
要点：在中国，物联网(IoT)已经激增，现在连接的事物比连接的人还多。随着物联网时代扩展到工业应用和新兴技术的发展，仍然需要解决一些问题，包括其规模化部署。在物联网的新时代，必须正面应对基础设施差距、
2025-12-07
法国知名徒步旅游公司90万客户信息遭泄露
近日，专为徒步旅行者提供服务的法国旅游公司La Malle Postale发现其系统出现了数据泄露，泄露的信息包括姓名、电话号码、电子邮件、通过短信进行的私人通信、密码和员工的凭据。La Malle
2025-12-07
2023年阻止网络钓鱼攻击的三种方法
对于网络罪犯和欺诈者来说，节假日是一个忙碌的时期，因为他们通常会假冒商家与消费者进行交易或发送优惠券等，并声称是他们信任的组织和品牌。事实上，根据调研机构的调查，经验丰富的黑客只需要几分钟就可以对自认
2025-12-07