0x01 S-SDLC介绍 OWASP防护软件开发设计生命期新项目（S-SDLC）是第一位由OWASP我国精英团队单独公布和领导干部科学研究新项目的OWASP机构，并在全世界宣布公布。 S-SDLC遭受很多企业的高度重视，并已获得执行。 S-SDLC是1个安全性的开发软件生命期，是Web和APP开发者的详细安全工程方式。协助软件开发公司减少安全系数并提升手机软件安全系数。 S-SDLC的定义来源于Microsoft SDL，其终极目标是协助客户降低安全隐患，并应用此方式来提升每一环节的总体安全等级。

0x02项目描述和总体目标 S-SDLC界定了防护软件开发设计的全过程，及其必须在每个环节实行的安全活动，包含主题活动手册，专用工具，模版等，包含： 学习培训：出示安全教育培训系统软件，包含安全意识培训，安全性基本学习培训，安全发展生命期全过程学习培训和安全性专业技能学习培训; 要求环节：怎样评定软件项目的风险性并创建基础的安全性规定 设计阶段：出示安全性处理设计方案和威协三维建模 执行环节：为流行计算机语言出示安全性的编号标准，安全性作用库和编码审计方法 产品测试：应用场景威协三维建模，模糊不清检测，渗透测试的检测设计方案 公布/维护阶段：创建系统漏洞智能管理系统 新项目总体目标：

（1）为Web和APP开发设计企业开发设计安全性开发设计步骤 开发设计动态性安全性开发设计步骤，对安全活动和主题活动要求开展归类。不一样种类的手机软件能够应用场景商品风险性和能用键入資源明确在开发设计全过程时要实行的安全活动，并表明主题活动的键入，輸出和实行。和依靠; （2）开发设计和开发设计安全性基本课程培训 创建安全性企业培训体系，明确不一样人物角色必须接纳的培训计划和学习培训周期时间;开发设计基本课程培训;

（3）依据社会经验，出入口方式具体指导和各种各样安全活动模版。关键安全活动包含：安全风险评估，设计方案审查，威协三维建模，应用场景威协的三维建模。

（4）开发设计WEB手机应用程序/中移动手机应用程序安全性设计方案手册 （5）开发设计安全性编码（C/C ++，J * A，PHP，C＃）

（6）将OWASP目前新项目（如开发设计手册和检测手册）集成化到开发软件系统软件中; 0x03 S-SDLC训练 努力实现公司软件安全开发设计的要求，很多生产商发布了S-SDLC安全性资询，并发布了应用场景“服务平台+专用工具+服务项目”的集成化解决方法。 SecZone S-SDLC解决方法V2.1内景：

：http://www.seczone.cn/2018年/03/08/s-sdlc%E8%A7%A3%E5%87%B3%E6%98%B9%E6%A1%66v2-0/] 1.安全教育培训 依据制造行业企业的实际上要求订制安全教育培训

2，安全性要求 在项目需求分析环节导入安全性要求，使系统软件具备必须的安全性作用和提升系统软件安全系数是此环节安全活动的总体目标。此环节的安全性规定由业务流程要求提议者明确提出，研发部门和安全性精英团队参加安全性需求分析报告。 安全性工作人员必须从业务流程视角考虑到安全隐患，随后运用其丰富多彩的安全性进攻和防御力工作经验来尽快发掘和防止安全隐患，并产生安全性规定目录。

3，安全性设计方案 在设计阶段，请细心考虑到系统软件的安全性设计方案和个人信息安全难题。 5.安全发展 订制开发者的开发设计标准，让安全性程序流程事实上掉入安全生产技术解决方法开发设计标准中，便于开发者能够撰写安全性编码。

4，安全测试 应用场景《Owasp Testing Guide v4》检测架构，搭建WEB手机应用程序安全测试标准并輸出渗透测试汇报。

5，安全性布署/运维管理 系统漏洞，傻瓜包安全事故管理方法 安全性标准，为电脑操作系统，数据库查询和中间件开发设计安全性加固规范 引证： [1]轻巧手机应用程序安全性开发设计生命期新项目（S-SDLC） https://www.owasp.org/index.php/OWASP_Secure_Software_Development_Lifecycle_Project http://www.owasp.org.cn/owasp-project/S-SDLC [2] [买卖技术性最前沿]证劵公司S-SDLC的探寻与实践活动 https://mp.weixin.qq.com/s/CzZmM4n*GREczfBqRc69Q [3] SecZone S-SDLC解决方法V2.1内景