结语
本文件应被视为一个起点,而非一套全面的技术和实践。我们再次强调,本文件的目的是为了提供关于构建安全软件的初步认知。
构建应用程序安全计划的后续良好步骤包括
- 为了解Web应用程序安全中的一些风险,请查阅OWASP 十大风险。
- 一个安全的开发计划应包含一份全面的安全要求列表。使用威胁建模来识别潜在的安全威胁,推导安全要求,并量身定制安全控制措施以防止这些威胁。使用诸如OWASP (Web) ASVS和OWASP (移动) MASVS等标准,它们提供了一系列可用的安全要求以及相关的验证标准。
- 为了从更宏观的角度了解安全软件计划的核心构建块,请查阅 OWASP OpenSAMM 项目。