วงจรการพัฒนาความปลอดภัยของ Microsoft

วงจรการพัฒนาความปลอดภัยของ Microsoft (SDL)คือแนวทางที่ Microsoft ใช้ในการบูรณาการความปลอดภัยเข้ากับกระบวนการ DevOps (บางครั้งเรียกว่าแนวทาง DevSecOps) คุณสามารถใช้คำแนะนำและเอกสารประกอบ SDL นี้เพื่อปรับใช้แนวทางและแนวปฏิบัตินี้ให้เข้ากับองค์กรของคุณได้

ภาพรวม

แนวทางปฏิบัติที่ระบุไว้ในแนวทาง SDL สามารถนำไปใช้ได้กับการพัฒนาซอฟต์แวร์ทุกประเภทและทุกแพลตฟอร์ม ตั้งแต่วิธีการแบบ Waterfall แบบดั้งเดิมไปจนถึงแนวทาง DevOps สมัยใหม่ โดยทั่วไปแล้วสามารถนำไปใช้กับสิ่งต่อไปนี้:

ซอฟต์แวร์ – ไม่ว่าคุณจะพัฒนาโค้ดซอฟต์แวร์สำหรับเฟิร์มแวร์ แอปพลิเคชัน AI ระบบปฏิบัติการ ไดรเวอร์ อุปกรณ์ IoT แอปพลิเคชันสำหรับอุปกรณ์เคลื่อนที่ บริการเว็บ ปลั๊กอิน หรือแอปเพล็ต ไมโครโค้ดฮาร์ดแวร์ แอปพลิเคชันแบบ low-code/no-code หรือรูปแบบซอฟต์แวร์อื่นๆ โปรดทราบว่าแนวปฏิบัติส่วนใหญ่ใน SDL สามารถนำไปใช้กับการพัฒนาฮาร์ดแวร์คอมพิวเตอร์ที่ปลอดภัยได้เช่นกัน
แพลตฟอร์ม – ไม่ว่าซอฟต์แวร์จะทำงานบนแพลตฟอร์มแบบ 'ไร้เซิร์ฟเวอร์' บนเซิร์ฟเวอร์ภายในองค์กร อุปกรณ์เคลื่อนที่ เครื่องเสมือนที่โฮสต์บนคลาวด์ จุดเชื่อมต่อผู้ใช้ เป็นส่วนหนึ่งของแอปพลิเคชันซอฟต์แวร์เป็นบริการ (SaaS) อุปกรณ์ขอบคลาวด์ อุปกรณ์ IoT หรือที่ใดก็ตาม

แนวปฏิบัติ

SDL แนะนำแนวทางปฏิบัติด้านความปลอดภัย 10 ประการที่ควรนำไปใช้ในขั้นตอนการพัฒนาของคุณ การนำแนวทางปฏิบัติด้านความปลอดภัยทั้ง 10 ประการของ SDL ไปใช้นั้นเป็นกระบวนการปรับปรุงอย่างต่อเนื่อง ดังนั้นคำแนะนำที่สำคัญคือให้เริ่มต้นจากจุดใดจุดหนึ่งและปรับปรุงอย่างต่อเนื่องในขณะที่คุณดำเนินการต่อไป กระบวนการต่อเนื่องนี้เกี่ยวข้องกับการเปลี่ยนแปลงด้านวัฒนธรรม กลยุทธ์ กระบวนการ และการควบคุมทางเทคนิค ในขณะที่คุณฝังทักษะและแนวทางปฏิบัติด้านความปลอดภัยลงในขั้นตอนการทำงานของ DevOps

หลักปฏิบัติ 10 ประการของ SDLมีดังนี้:

กำหนดมาตรฐานความปลอดภัย ตัวชี้วัด และระบบการกำกับดูแล
ต้องใช้คุณสมบัติ ภาษา และเฟรมเวิร์กด้านความปลอดภัยที่ได้รับการพิสูจน์แล้ว
ดำเนินการตรวจสอบการออกแบบด้านความปลอดภัยและการสร้างแบบจำลองภัยคุกคาม
กำหนดและใช้มาตรฐานการเข้ารหัสลับ
รักษาความปลอดภัยของห่วงโซ่อุปทานซอฟต์แวร์
รักษาความปลอดภัยของสภาพแวดล้อมทางวิศวกรรม
ดำเนินการทดสอบความปลอดภัย
ตรวจสอบให้แน่ใจว่าแพลตฟอร์มปฏิบัติการมีความปลอดภัย
ดำเนินการตรวจสอบและตอบสนองด้านความปลอดภัย
จัดอบรมด้านความปลอดภัย

เวอร์ชัน

เวอร์ชั่น	วันที่วางจำหน่าย	ลิงก์
1	มกราคม พ.ศ. 2547	ยังไม่เผยแพร่
2	กรกฎาคม 2547	ยังไม่เผยแพร่
2.1	มกราคม พ.ศ. 2548	ยังไม่เผยแพร่
2.2	กรกฎาคม 2548	ยังไม่เผยแพร่
3	มกราคม พ.ศ. 2549	ยังไม่เผยแพร่
3.2	15 เมษายน 2551	http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=24308
4.1	1 มิถุนายน 2552	http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=15526
4.1ก	15 เมษายน 2553	http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=17701
5	11 พฤษภาคม 2553	http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=12285
5.2	23 พฤษภาคม 2555	https://www.microsoft.com/en-us/download/details.aspx?id=29884
6	21 พฤษภาคม 2024	https://www.microsoft.com/securityengineering/sdl

ดูเพิ่มเติม

ฐานประมวลผลที่เชื่อถือได้

อ่านเพิ่มเติม

สร้างวัฒนธรรม กลยุทธ์ และกระบวนการ - การรักษาความปลอดภัยด้านนวัตกรรม (CAF Secure)
กำหนดแนวทางปฏิบัติและมาตรการควบคุมด้านความปลอดภัย - มาตรการควบคุม DevSecOps
ประเมินปริมาณงานปัจจุบันของคุณด้วยการประเมินความปลอดภัยที่ออกแบบมาอย่างดี - Well Architected Review

ลิงก์ภายนอก

เว็บไซต์อย่างเป็นทางการ

บทความเกี่ยวกับวิศวกรรมซอฟต์แวร์นี้ ยัง ไม่สมบูรณ์คุณสามารถช่วยวิกิพีเดียได้โดยการเพิ่มข้อมูลที่ขาดหายไป