Capítulo 65438 0 Ya es suficiente: las amenazas están cambiando silenciosamente 3
1.1 Conflictos de seguridad y privacidad en todo el mundo 5
1.2 Otro A factor que afecta la seguridad: Confiabilidad 8
1.3 está relacionada con la calidad 10
1.4 Por qué los principales desarrolladores de software necesitan desarrollar software más seguro 11
1.5 Por qué los desarrolladores de software internos necesidad de desarrollar software más seguro 12
1.6 Por qué los pequeños desarrolladores de software necesitan desarrollar software más seguro 12
1.7 Resumen 13
Referencia 13
Capítulo 2 Los métodos actuales de desarrollo de software son insuficientes para producir software seguro17.
2.1 “Mientras se preste suficiente atención, todos los defectos no tendrán dónde esconderse” 18.
2.1.1 Código de revisión de energía 18
2.1.2 Comprender los errores de seguridad 19
2.1.3 Número de personal 19
2.1 4 "Cuanto más prestes atención", más fácil será perder 20 puntos.
2.2 Modelo de desarrollo de software patentado 21
2.3 Modelo de desarrollo ágil 22
2.4 Criterios generales de evaluación 22
2.5 Resumen 23
Referencia 24
Capítulo 3 Una breve historia de Microsoft SDL 27
3.1 Preludio 27
3.2 Nuevas amenazas y nuevas contramedidas 29
3.3 Windows 2000 y la Iniciativa Secure Windows 30
3.4 La búsqueda de la escalabilidad: en todo Windows XP32
3.5 Promoción de la seguridad y revisión final de la seguridad (FSR) 33
3.6 Formación del ciclo de vida del desarrollo de la seguridad del software 36
3.7 Desafíos actuales 37
Referencias 38
Capítulo 4 Gestión de SDL41
4.1 Compromiso con el éxito
Compromiso de Microsoft 41
¿Necesita SDL? 43
4.1.3 Compromiso efectivo 45
4.2 Gestión SDL48
4.2.1 Recursos 48
4.2.2 Si el proyecto es en camino ¿En camino? 50
4.3 Resumen 51
Referencia 51
Parte 2 Proceso del ciclo de vida del desarrollo de seguridad de software
Capítulo 5, Fase 0: Educación y Concientización 55
5.1 Una breve historia de la educación en seguridad de Microsoft 56
5.2 Educación continua 58
5.3 Tipos de impartición de capacitación 60
5.4 Práctica Experimentar con 61
5.5 Seguimiento del compromiso y el cumplimiento 62
5.6 Medición del conocimiento 63
5.7 Implementación de capacitación de autoservicio 63
5.8 Clave Factores de éxito y métricas cuantitativas 64
5.9 Resumen 65
Referencias 65
Capítulo 6 Fase 1: Inicio del proyecto 67
6.1 Determinar si el ciclo de vida del desarrollo de seguridad del software cubre la aplicación 67
6.2 Nombramiento de consultor de seguridad 68
6.2.1 Actuar como puente entre el equipo de desarrollo y el equipo de seguridad.
6.2.2 Convocar al equipo de desarrollo para celebrar una reunión inicial de SDL70
6.2.3 Revisar el diseño y el modelo de amenazas del equipo de desarrollo70
6.2.4 Corrección de errores Análisis y clasificación, como categorías de seguridad y privacidad70.
6.2.5 Altavoz de seguridad del equipo de desarrollo71
6.2.6 Ayudar al equipo de desarrollo a preparar la revisión de seguridad final71.
6.2.7 Cooperar con el equipo de seguridad correspondiente71
6.3 Establecer un grupo de liderazgo de seguridad71
6.4 Garantizar que el proceso de gestión de seguimiento de defectos incluya defectos de seguridad y privacidad72.
6.5 Establecimiento de “Estándares de error” 74
6.6 Resumen 74
Referencias 74
Capítulo 7, Fase 2: Definición y seguimiento del diseño mejores prácticas 75
Documentos de referencia 90
Capítulo 8 Fase 3: Evaluación de riesgos del producto 93
Capítulo 9 Fase 4: Análisis de riesgos 101
Capítulo 10 Fase 5: Creación de documentación de seguridad, herramientas y mejores prácticas del cliente 133
Capítulo 11 Fase 6: Estrategias de codificación segura 143
Capítulo 12 Fase 7: Estrategia de prueba de seguridad 153
Capítulo 13 Fase 8: Promoción de la seguridad 169
Capítulo 14 Fase 9: Revisión final de la seguridad 181
Capítulo 15 Fase 10: Plan de respuesta de seguridad 187
Capítulo 16 Fase 11: Lanzamiento del producto 215
Capítulo 17 Fase 12: Ejecución de la respuesta de seguridad 217
Parte 3 SDL
Datos de referencia
Capítulo 18 Integración de SDL225 en modo ágil
Documento de referencia 239
Capítulo 19 Llamadas a funciones deshabilitadas de SDL 241
Capítulo 20 Estándar de cifrado mínimo de SDL 251 p>
Capítulo 21 Herramientas necesarias de SDL y opciones del compilador 259
……