安全开发流程（安全的软件开发流程）

1、立项规划阶段

项目启动前的准备（目标、范围、进度、预算、交付、可行性、风险等），由Sponsor审核，驳回或批准立项（授权项目经理使用组织资源来达成项目目标）。

2、需求分析阶段

深入了解和分析需求，输出需求分析文档，和用户代表确认需求。

项目管理平台上的关键任务：

(1) 需求分析报告与用户代表确认。

3、概要设计阶段

系统架构或方案设计（模块构成、模块之间的关系、处理流程等）

项目管理平台上的关键任务：

(1) 方案设计评审, 检查系统方案设计是否与业界最佳实践一致;

(2) 安全设计自检, 检查系统方案设计是否与安全设计规范或业界最佳安全实践一致。

4、开发测试阶段

详细设计，编码（实现功能、性能、接口等各方面的要求）及测试（确认功能、性能、安全等要素满足要求）。

项目管理平台上的关键任务：

(1) 安全开发自检， 检查编码是否为安全的最佳实践，必要时使用代码审计工具；

(2) 安全测试自检，基于安全测试用例的测试，以及渗透测试等。

5、产品发布阶段

在生产环境实施发布，准备提供服务。

项目管理平台上的关键任务：

(1) 安全部署自检，检查发布实施过程是否与安全部署规范一致，是否完成服务器安全配置、修改口令等动作。

6、验收阶段

检查确认是否达到交付运维的条件，转运维。

项目管理平台上的关键任务：

(1) 验收, 检查CMDB维护、备份、恢复演练、服务状态监控等任务是否完成。

7、运维阶段

项目结束，运维过程中，实施IT服务管理（配置管理、变更管理、事件管理、问题管理等）。