安全軟體發展流程簡介資訊室
發刊期數:第0297期/
發布日期:107/09/21
傳統軟體發展生命週期SDLC (Software Development Life Cycle)是一套資訊系統發展順序,將系統發展分為需求、設計、開發、測試、部署及維運幾個階段,其重點為在期限內完成符合需求功能之資訊系統,過程中以功能導向貫穿整個週期,對於系統應有或特別之資訊安全要求缺乏考量,通常系統於上線後才被動式加以補強,其產生之成本高,風險也大。
針對傳統軟體發展生命週期之缺點,於是提出安全軟體發展流程SSDLC(Security System Development Life Cycle)架構,將資訊系統安全思維嵌入系發展生命週期各階段,於各階段執行各項必要的安全活動,把資安視為功能性需求,雖拉長各階段時程,卻可大大降低後續系統因應系統安全需付出之維護成本,及避免可能因遭受資安攻擊所帶來之損失。
依據國家資通安全科技中心建議,SSDLC之重點活動包含需求階段之安全需求萃取與追蹤、設計階段之威脅建模、建置階段之控制措施發展與常見弱點避免、測試階段之源碼檢測與弱點掃瞄、維護階段之組態強化與元件更新等,各階段亦訂定相關參考指引,如安全設計指引、安全軟體測試指引、web應用程式安全指引、資訊系統委外開發RFP資安需求範本等,機關可以據以為實施SSDLC之參考,提昇資訊系統之安全性。