OWASP Secure Software Development Lifecycle Project(S-SDLC)是OWASP组织首个由OWASP中国团队独立发布并主导的研究项目，并在全球范围内正式发布。S-SDLC被越来越多的企业所重视，纷纷开始实施。S-SDLC是安全软件开发生命周期，是一套完整的，面向Web和APP开发厂商的安全工程方法。帮助软件企业降低安全风险，提升软件安全质量。S-SDLC的理念来源于微软SDL，最终目标是帮助用户减少安全问题，并使用该方法从每个阶段提高总体安全级别。

一、S-SDLC定义了安全软件开发的流程，以及各个阶段需要进行的安全活动，包括活动指南，工具、模板等，主要包括：

1、培训：提供安全培训体系，包含安全意识培训，安全基础知识培训，安全开发生命周期流程培训和安全专业知识培训；

2、需求阶段：如何对软件产品的风险进行评估，建立基本的安全需求

3、设计阶段：提供安全方案设计及威胁建模

4、实现阶段：提供主流编程语言的安全编码规范，安全函数库以及代码审计方法

5、测试阶段：基于威胁建模的测试设计，Fuzzing测试，渗透测试

6、发布/维护阶段：建立漏洞管理体系

二、s-sdlc安全软件开发生命周期

威胁分析步骤：

1、数据流图

2、威胁模型：stride仿冒、篡改、抵赖、信息泄露、拒绝服务、权限提升、

3、方法和技术手段：身份验证、数字签名、访问控制、日志审计、加密、过滤配额

结论

1、设计：客户端和代理服务间讯息加密、代理服务对第三方服务的认证

2、开发：生成用户标识的随机性、防止SQL注入

3、部署：服务器、数据库安全加固

4、测试：设计需求和开发的漏洞