1.分析專案需求流程,功能,架構文件
2.安全風險,stride威脅建模,隱私保護(gdpr)
3.根據流程,功能,架構等提出安全需求【要求能落地】
4.建立草稿
5.建立文件[根據1,2,3 +名詞解釋,安全需求對應的作用等]
6.平台錄入存檔
1.1 資料威脅模型[資料屬性:id,name]
注入攻擊
越權攻擊
xxe攻擊
ssrf攻擊
未授權攻擊
1.2 資料安全需求
資料驗證
許可權控制
資料加密
2.1 通訊威脅模型[傳輸協議:htttp; 傳輸方式: json]
中間人挾持
ddos
爬蟲重放攻擊
2.2 通訊安全需求
資料加密傳輸[https]
資料簽名+加密+時間戳
會話級別通訊
傳輸雙向驗證
3.1 流程威脅模型
3.2 流程安全需求[動作:註冊過程,驗證碼驗證過程, 加解密驗證過程]
如下圖:
隱私保護:
正式文檔期:
todo
平台存檔:
todo
專案評審建議
第一組 微食堂 缺點 1.展示視窗不明顯,同學並不一定清楚某個視窗的特設招牌菜,只認識視窗的牌匾和模樣,值得改進。2.每家店的菜品可以按照受歡迎度排列。3.使用者登陸不同步。優點 頁面比較全,雖然部分沒有做完,但是考慮得很周全。第二組 微記賬 缺點 1.介面不好看,首頁顯得很堵 2.資訊顯示冗餘,並...
安全開發流程(SDL)
目錄 0x01 sdl介紹 0x02 sdl流程框架 0x03 sdl實戰經驗 0x04 總結 安全開發生命週期 sdl 即security development lifecycle,是乙個幫助開發人員構建更安全的軟體和解決安全合規要求的同時降低開發成本的軟體開發過程。自2004年起,sdl就成為...
專案開發系列 需求評審
今天進行了傳說中的需求評審。開始以為是一群大boss坐在那裡挑我們的毛病,沒想到是乙個極度輕鬆和open的過程。總結下一哈 首先,需求評審的參與者是pd,pm,需求方和專案小組全體成員。目的是對需求方提出的需求進行確認和補充。大致的流程是 需求方給出乙個大概的輪廓,開發團隊提出自己的想法,然後諮詢需...