Slack配图

上周,团队协作解决方案提供商 Slack 宣布称将内部使用的安全开发周期 (SDL) 工具开源。

这款工具名为 goSDL,是一款基于 PHP 的网络应用,旨在向开发人员和项目经理提供能帮助他们改进新软件和功能安全的问题和检查清单。该工具用于项目开发中期或接近结束时。

了解完项目的一些大概信息后,使用 goSDL 的开发人员需要回答一些问题以开展首次风险评估。其中开发人员需要回答是否认为安全团队有必要介入开发工作,以及他们的代码中是否增加了新的认证功能或者更改了现有的安全控制。

完成首次风险评估后,goSDL 要求开发人员提供所使用的组件的信息,包括 Web 技术、编程语言和解析器。开发人员可通过 JSON 插件轻松地将新组件加入调查问卷中。

基于此前阶段所收到的回复,goSDL 会生成和项目相关的安全检查清单。为了实现追踪,该工具会分别为开发人员和安全团队创建一个 JIRA 单,以跟踪自己的审查。

Slack 公司指出,“这款工具按照开发人员的具体需求定制检查单,而无需提供不必要不相关的安全要求。安全专家能够为所有的开发人员设置自定义安全指南和要求作为检查清单项目。这个清单可用作构建安全软件的指南和引用,从而让在同一个项目中工作的开发人员树立安全意识并且轻松地跟踪该项目安全目标的完成状况。”

goSDL 和 Atlassian 的 Jira Enterprise 问题追踪器和 Trello 项目管理应用兼容。goSDL 的源代码以及使用指南均已发布在 GitHub 上。

Slack 产品安全团队成员 Max Feldman 指出,通过开源 goSDL,希望越来越多的组织机构能够衡量自身的安全,同时希望能够学习他们的经验;另外该公司希望更多人员加入工具、模块、检查清单的队伍中来。

本文由360代码卫士翻译自SecurityWeek

声明:本文来自代码卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。