安全软件开发生命周期(SSDLC)文档发布
Unity分享了内部安全软件开发生命周期(SSDLC)文档的公开版本。我们邀请大家一起为改进文档做出贡献,共同完善最佳实践的标准。
Unity Security团队为开发人员制定了Unity的安全软件开发生命周期(Secure Software Development Life Cycle,简称SSDLC)文档,以确保代码库安全的质量。SSDLC文档中的内容来自各种来源,结合了行业最佳实践与Unity Security团队的实践经验。
我们公开发布SSDLC文档的目的是:希望能够为广大安全社区做出贡献,帮助仍在制定和开发自己安全软件开发生命周期SSDLC的团队。
本次公开发布也是展示我们安全工程师杰出工作成果的难得机会。安全工程师的工作很少得到人们的关注,即使建立的最佳实践成为行业标准,他们也难以为人所知。因此,对作者进行署名是本文档的核心原则。
如果其他公司采用这些内容,我们也欢迎他们把文档分享给他们的客户。最后,我们也希望通过这次机会和用户分享我们保证产品安全所采取的步骤,因为我们想让我们的创作者和客户获得最好的建议,来保证工作成果的安全。
SSDLC文档内容
我们把文档内容分为五类:代码实践、语言最佳实践、安全处理、工具及自动化和培训。
代码实践从源代码的角度,收录了许多常见的安全最佳实践。在这个分类中,你可以找到我们推荐给开发者的API最佳实践、常见网络攻击和机密内容管理。
语言最佳实践部分会深入讲解不同编程语言的具体安全考虑,针对Node.js、Golang、C#和Ruby等语言提供建议。希望你能够帮助我们拓展这部分内容,这部分内容涵盖许多编程语言。
安全处理部分可能是技术含量最小但重要性最大的部分。它将帮助你在项目中实现一致性,为你的组织提供能够合理识别风险的流程。这部分涵盖的内容包括:安全问题等级量表、风险评级系统、安全要求、以及设计和实现审核。
在Unity Security团队为开源版本准备好Unity内部安全工具后,我们将加入工具及自动化和培训部分。
自由取用SSDLC文档
我们设计安全软件开发生命周期SSDLC文档的目的是让大家都能使用它,你可以从GitHub获取该项目库,找到并替换“Unity”为“WidgetCo.”这类名称,然后分享给开发者。
虽然目前这些内容提供的信息还不够全面和完善,但我们依旧选择把它公布出来,这次公开发布只是一个开始,我们希望大家能够积极提供反馈,获取和改进内容。
Unity的安全软件开发生命周期SSDLC文档现已公开,其中包括开源许可。访问Unity的安全软件开发生命周期SSDLC文档:
https://github.com/UnityTech/unity-ssdlc
小结
如果对于SSDLC文档有任何改进,请告诉我们,以便我们采用你改进的内容。请确保遵循贡献指南,和社区分享你的知识和经验。我们希望看到我们的最佳实践和社区的最佳实践相互结合,构成完善统一的框架。
下载Unity Connect APP,请点击此处。 观看更多Unity官方精彩视频,请关注“Unity官方”B站账户。
你可以访问Unity答疑专区留下你的问题,Unity社区和官方团队帮你解答:
Connect.unity.com/g/discussion
推荐阅读
如何在Unity应用中更安全地使用URL处理器和OpenURL
TapTap独立营-48小时游戏创作挑战,95%作品使用Unity创作
官方活动
直播预告|Unity + Vuforia构建企业级AR应用今晚8点,Unity技术经理殷崇英和PTC增强现实技术专家孔祥晨将为你讲解:Unity + Vuforia构建企业级AR应用。[了解详情......]点击“阅读原文”获取SSDLC文档
↓↓↓