三级准备材料CCRC认证-软件安全开发三级

时间:来源:未知 作者:admin 点击:189

 

CCRC-软件安全开发项目大致需要准备材料

 

CCRC-软件安全开发项目大致需要的材料:
1.软件开发项目合同、开发环境、测试环境、配置管理工具;
2.相关控制管理制度,项目开发管理、项目配置管理、变更控制管理、项目风险管理;
3.需求调研记录、需求分析报告(含安全需求)、软件需求说明书、客户沟通会议记录;
4.项目立项会议记录、项目开发计划/实施计划;
5.软件设计说明书(功能和非功能设计);
6.概要设计说明书(数据完整性和保密性、通信完整性和保密性、软件容错、资源控制等安全功能);
7.详细设计说明书(数据产生、传输、存储、使用、处理和归档安全设计)、数据库设计说明书;
8.安全编码规范、代码安全检查/评审记录、漏洞修复/验证记录;
9.单元测试计划/策略、测试用例、测试记录与报告;
10.集成测试计划/策略、测试用例、测试记录与报告;
11.系统测试计划/策略、测试用例、测试记录与报告(安全性测试、脆弱性测试等);
12.系统试运行记录、试运行期间调整/维护记录、系统试运行报告;
13.验收申请、验收资料、验收报告、软件安全测评报告;
14.后期软件系统巡检记录、故障记录、升级记录等。
15.测试报告【自己测试都行】
16.系统运行计划、安全事件响应计划、安全事件应急预案、应急保障团队人员组织构成和职责、应急事件记录
17.开发环境、测试环境、运行环境说明
18.风险管理制度、项目风险管理计划、项目风险分析报告;
19.配置管理工具及使用情况说明

 

安全测试就是比如我们的身份认证(登录)、输入验证、权限、敏感数据(比如在传递过程中有无加密、存储有无加密)、Session管理(测试是否限制会话生存期)、若使用 了加密(测试秘钥的安全性,容不容易被别人所获取)、参数(测试所有的输入参数、敏感数据)、注册与登录、Session超时、备份与恢复、传输安全测试等