创建软件安全需求

在软件开发生命周期的需求阶段，软件开发团队为其正在设计与实施的软件收集安全需求。这个阶段的重点是为高效软件创建一个安全的基础。作为创建安全基础的一部分，需求阶段必须考虑潜在的攻击和利用。

在此阶段，我们将关注法律安全需求、客户安全需求，以及软件开发团队的适当安全培训

在此阶段，应该创建一个风险概要文件，其中包括对应用程序的各种风险进行概述和分类的评估。在收集安全需求时，您需要知道应用程序是否必须遵守美国联邦或州的任何法规，这些法规通常规定有明确的安全需求。

此外，您的应用程序也可能会受制于其他国家的规定。由于法律、法规，以及标准无法轻易去解释清楚，建议您或您的组织咨询律师，从而了解应用程序安全义务的全部适用范围。您可以使用电子表格来帮助跟踪与立法要求相关的信息。

例如，您的应用程序是要处理财务数据、信用卡数据还是处理医疗保健信息?其是与欧盟还是与其他国家进行交易?

立法可能会影响公司使用安全令牌、使用加密和存储数据的方式。您的应用程序可能受制于具有特定安全需求的法律法规。请向律师咨询，了解你监管义务的全部适用范围。

萨班斯奥克斯利法案(SOX)

这项法律是在安然公司(Enron)灾难事件之后实施的，其对上市公司披露或伪造财务数据的行为处以严厉的惩罚。

格雷姆-里奇-比利雷法 (GLBA)

该法案包括保护金融机构持有的消费者个人金融信息的条款，并制定了保障措施。

通用数据保护条例 (GDPR)

这些需求适用于欧盟的每个成员国，旨在为欧盟各国的消费者和个人数据提供更加一致的保护。

健康保险携带和责任法案 (HIPAA) 与经济和临床健康信息技术法案(HITECH)

这两项法规对医疗保健信息的安全性和私密性提出了指导方针和要求。

支付卡行业数据安全标准(PCI-DSS)与支付程序数据安全标准(PA- DSS)

这两项法规包括一套全面的要求，从而安全处理支付卡数据。

除了法律需求之外，您的客户可能还有您需要了解的特定安全与技术需求。通常，与开发相关的特定于客户的目标、特性、时间框架，以及用户体验具有优先权。

问清楚并理解要保护的资产、合规性、服务质量，以及数据机密性需求会对您大有帮助。

本文由端玛科技有限公司编写整理，转载请说明出处。

端玛科技是专门从事于应用软件安全风险评估、风险消除、培训、教育和软件安全生命开发周期SDL咨询的软件安全公司，关注我们，学习更多应用安全相关知识。