软件安全开发背景 常见的软件安全开发方法 微软威胁建模模型 威胁识别的其他方法 威胁建模素材
2021-08-08 17:00:18 2.84MB 威胁建模 安全开发 威胁识别 软件安全
在演讲中她指出,应用软件安全是企业安全的根本,随着黑客攻击越来越多的利用源代码漏洞,解决源代码的安全问题变得日益重要。大型企业内部往往拥有大量应用程序和源代码、多种编程语言以及各个团队不同的开发流程和语言环境。如何在全企业内部建立统一高效的安全开发流程和管理框架,在开发早期杜绝应用程序设计以及源代码的安全问题,是每个首席安全官急需解决的难题。 钟卫林结合多年在美国大型银行和互联网公司建立应用安全开发和管理框架的经验,提出了自己的见解。她认为,应该从战略和战术两方面来进行讨论。不管是哪一种方案,不管是哪一种公司风格,不管是哪一种人才储备哪一种技术力量,都要从政策、流程、技术、人才四个方面考虑。 应用软件安全是企业安全的根本 大型企业应用软件安全解决之道 源代码安全是产品安全的根源
Agenda •软件安全的现状 •BSIMM (Build Security In Maturity Model)起源 •BSIMM 的执行与落地 •基于BSIMM的SDLC全生命周期软件安全管控
越来越多的软件企业已经意识到安全的重要性,但由于缺乏安全方面的知识和资源,软件安全的落地仍困难重重。本议题从一些容易实现的安全措施的入手,讲解如何在一个软件企业中实施一个安全项目来提高软件的安全质量。 Vulnerabilities Adhoc solution Cost to fix these issues RnD’s voice to security RnD’s impression to security guys RnD’s expectation to security guys Security guys’ challenge Security as a quick start Create security bug type Security user story Security dashboard So evolve Security awareness training Security release criteria Threat modeling and security design review Security assessment Risk response Apply what you learnt today To be continued
2021-08-07 14:00:49 836KB 软件安全 安全测试 安全体系
主要内容 我们面临的安全挑战 开发过程中的安全问题 如何构建安全开发体系 开源代码安全现状及实例分析
2021-08-07 14:00:24 3.92MB 安全挑战 安全开发体系 漏洞分析
越来越多的软件企业已经意识到安全的重要性,但由于缺乏安全方面的知识和资源,软件安全的落地仍困难重重。本议题从一些容易实现的安全措施的入手,讲解如何在一个软件企业中实施一个安全项目来提高软件的安全质量。 Vulnerabilities Adhoc solution Cost to fix these issues RnD’s voice to security RnD’s impression to security guys RnD’s expectation to security guys Security guys’ challenge Security as a quick start Create security bug type Security user story Security dashboard So evolve Security program Security awareness training Security release criteria Threat modeling and security design review Security assessment Risk response Apply what you learnt today To be continued
2021-08-07 14:00:18 969KB 软件安全
有趣的二进制,软件安全与逆向分析,高清超清电子版,感觉不错,入门好书。
2021-08-06 18:27:45 8.39MB 逆向分析
1
上月与同事一起参加了中软国际2019年PM大会(南京站),在会上聆听了其他业务线的项目管理经验的分享,也学习了一些华为业务群有关可信软件开发、高质量交付的优秀实践。回来后也百度了下相关知识,特记录如下。
2021-08-05 15:00:09 14KB 化为 阿里巴巴 可信软件 软件安全
1
中国人民银行关于发布金融行业标准加强移动金融客户端应用软件安全管理的通知(银发〔 2019〕237 号) 2019-12-22 16:36 中国人民银行上海总部,各分行、营业管理部,各省会(首府)城市中心支行,各副省级城市中心支行;国家开发银行,各政策性银行、国有商业银行、股份制商业银行,中国邮政储蓄银行;各证券公司、基金公司、期货公司、私募投资基金管理机构;各保险集团(控股)公司、保险公司、保险资产管理公司;中国银联股份有限公司、中国互联网金融协会、网联清算有限公司;各非银行支付机构: 为贯彻落实《中华人民共和国网络安全法》,加强移动金融客户端应用软件(以下简称客户端软件)安全管理,现将《移动金融客户端应用软件安全管理规范》( JR/T 0092-2019,见附件,以下简称《规范》)印发给你们,并提出如下实施工作要求: 一、提升安全防护能力 各金融机构应严格按照《规范》要求,加强客户端软件设计、开发、发布、维护等环节的安全管理,构建覆盖全生命周期的管理机制,切实保障客户端软件安全。落实网络安全主体责任,采取有效措施防范应对网络攻击,保障相关系统平稳安全运行。对于资金交易类客户端软件,应从资金安全、信息保护等方面开展外部评估。对于信息采集类客户端软件,应重点从信息保护方面开展外部评估。外部评估应每年至少开展一次,形成报告存档备查。 二、加强个人金融信息保护 各金融机构应严格按照《规范》要求,采取有效措施加强客户端软件个人金融信息保护。一是收集、使用个人金融信息时应遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并经用户同意。不得以默认、捆绑、停止安装使用等手段变相强迫用户授权,不得收集与其提供金融服务无关的个人金融信息。二是应采取数据加密、访问控制、安全传输、签名认证等措施,防止个人金融信息在传输、存储、使用等过程被非法窃取、泄露或篡改。三是信息使用结束后应立即删除敏感信息,在客户端软件卸载后不得留存个人金融信息。四是不得违反法律法规与用户约定,不得泄露、非法出售或非法向他人提供个人金融信息。 三、提高风险监测能力 各金融机构要建立健全客户端软件风险监测管理机制,充分利用客户端软件风险监测平台,识别和处置客户端软件潜在的安全漏洞、权限滥用、信息泄露等风险隐患,对发现的漏洞和潜在的风险及时采取补救措施。中国互联网金融协会等应会同金融机构建立健全风险信息共享机制,加大联防联控力度,共同提高客户端软件安全水平。 四、健全投诉处理机制 各金融机构、中国互联网金融协会等要按照金融消费者权益保护相关规定,完善客户端软件投诉处理机制,按照“有人理诉,有序办诉,高效处诉”的工作原则,规范受理渠道和办理流程,及时处理投诉建议。中国互联网金融协会等应完善投诉调查取证和转移处理机制,通过机构核实、现场检查、技术检测、专家评议等方式进行查证,对查证属实的要督促金融机构做好整改。 五、强化行业自律管理 中国互联网金融协会等要加强客户端软件行业自律管理,制定行业公约,建立健全黑名单管理、自律检查、违规约束、 信息共享等机制,做好客户端软件实名备案、风险监测等工作,督促金融机构严格落实本通知各项规定。同时,定期向人民银行报送相关情况。 请人民银行副省级城市中心支行以上分支机构将本通知转发至辖区内分支机构和金融机构,组织做好客户端软件安全管理等工作。 联 系 人:科技司 刘雨露、关晓辉 联系电话: 010-66199548、 010-66195269 附件:移动金融客户端应用软件安全管理规范 抄 送:国家市场监督管理总局、中国银行保险监督管理委员会、中国证券监督管理委员会,中国人民银行各直属企事业单位。 内部发送:办公厅、科技司、条法司、金融稳定局、支付结算司、征信管理局、金融消费权益保护局。
2021-07-26 17:11:18 6.3MB 银发〔 2019〕237 号文 移动金融客户端
1
复旦大学_软件安全_SEED labs_1-Buffer Overflow实验 是从雪城大学SEED labs上找的实验 资源包括:原始文件夹、攻击代码、实验报告详细版
2021-07-12 16:11:04 979KB Software Securit
1