摘要:安全開發流程 SDL for VSTS 2008
談了好多年了 SDL ,也有相關的手冊
但相信還是有一堆人沒搞懂吧!
前一陣子 MS 終於把這個開發流程單獨地 Release 出來 for VSTS 2008
這樣子對於一般還沒有正式導入 SDL 的團隊
可以有一個範本參考其如何對應至自已的開發流程之中。
在那之前有個觀念要釐清的是
SDL 開發流程 其實並不是為了要取代任何一種 Process (ex.. Agile , CMMI )
而是在這些的開發流程「之上」再補上 SDL 的項目
讓「安全性」的問題可以在開發的過程當中被重視
而這個做法在微軟內部已經有好多的開發已實際落實 ( 像 VSTS、Windows )
接下來我們就趕緊下載下來試用看看吧!
http://msdn.microsoft.com/en-gb/security/dd670265.aspx
下載並安裝
開啟 VSTS 2008 –> Team 總管
開啟 「流程範本管理員」—>上載 選 剛剛安裝的 SDL
C:\Program Files\Microsoft Security Development Lifecycle (SDL) Template - v4.0\Process Template
WSS 3 要記得安裝英文套件
我們來建立一個新的 Team Project 吧!
可以看到裡面有
Task , Bug ( 即有的 )
SDL Task
和 Security Code Review
可以看到 SDL 對於 每一個開發階段都去驗證其安全性是相當的重視
而且是真的落實去做 Code Review 來稽核程式碼是否有後門之類的
接下來…
流程有 SDL 那麼工具也要有相對應的稽核機制在 Check in Policy 把關才行
各種安全性文件範本 ( 可惜只有英文 )
其實 SDL 是一個非常大的主題,也還需要其他工具來協助
這個 Tampleate 相信對 「安全性」不知道應該要怎麼做的團隊
可以有一個方向可以思考
