保護 Azure 上的開發最佳做法
這一系列文章提供當您開發雲端應用程式時要考慮的安全性活動和控制項。 涵蓋在生命週期的每個階段中要考慮的 Microsoft 安全性開發生命週期 (SDL) 階段和安全性問題和概念。 目標是協助您定義活動與 Azure 服務,您可以在生命週期的每個階段使用,以設計、開發及部署更安全的應用程式。
文章中的建議來自我們對 Azure 安全性的體驗,以及我們的客戶體驗。 您可以使用這些文章作為開發專案特定階段所應考慮之事項的參考,但我們建議您也至少從頭到尾閱讀所有文章。 閱讀所有文章會向您介紹您可能在專案早期階段遺漏的概念。 在您發行產品之前實作這些概念,可協助您建置安全的軟體、解決安全性合規性需求,以及降低開發成本。
這些文章旨在成為建置及部署安全 Azure 應用程式之所有層級的軟體設計工具、開發人員和測試人員的資源。
概觀
安全性是任何應用程式最重要的層面之一,不是一件容易的事。 幸運的是,Azure 提供許多服務,可協助您保護雲端中的應用程式。 這些文章說明您可以在軟體發展生命週期的每個階段實作的活動和 Azure 服務,以協助您開發更安全的程式碼,並在雲端中部署更安全的應用程式。
安全性開發生命週期
遵循安全軟體發展的最佳做法需要將安全性整合到軟體發展生命週期的每個階段,從需求分析到維護,不論專案方法( 瀑布 式、 敏捷 式或 DevOps )。 在高調資料外泄和惡意探索作業安全性缺陷之後,更多的開發人員會瞭解整個開發程式需要解決安全性問題。
您稍後會在開發生命週期中修正問題,修正成本越多。 安全性問題並不例外。 如果您在軟體發展的初期階段忽略安全性問題,後續的每個階段都可能會繼承上一個階段的弱點。 您的最終產品會累積多個安全性問題和缺口的可能性。 將安全性建置到開發生命週期的每個階段,可協助您儘早捕捉問題,並協助您降低開發成本。
我們會遵循 Microsoft 安全性開發生命週期 (SDL)的 階段,介紹活動與 Azure 服務,讓您可用來在生命週期的每個階段中實現安全的軟體發展實務。
SDL 階段為:
在這些文章中,我們會將 SDL 階段分組為設計、開發和部署。
與貴組織的安全性小組互動
您的組織可能有一個正式的應用程式安全性計畫,可協助您在開發生命週期期間從頭到尾提供安全性活動。 如果您的組織有安全性與合規性小組,請務必在開始開發應用程式之前與他們互動。 請在 SDL 的每個階段詢問他們您是否遺漏任何工作。
我們瞭解許多讀者可能沒有安全性或合規性小組來參與。 這些文章可協助您在 SDL 的每個階段考慮的安全性問題和決策。
資源
使用下列資源深入瞭解如何開發安全的應用程式,並協助保護 Azure 上的應用程式:
Microsoft 安全性開發生命週期 (SDL) - SDL 是 Microsoft 的軟體發展程式,可協助開發人員建置更安全的軟體。 其可協助您解決安全性合規性需求,同時降低開發成本。
開放全球應用程式安全性專案 (OWASP) - OWASP 是一個線上社群,可在 Web 應用程式安全性領域產生可用文章、方法、檔、工具和技術。
Pushing Left, Like a Boss - 一系列線上文章,概述開發人員應該完成的不同類型的應用程式安全性活動,以建立更安全的程式碼。
Microsoft 身分識別平臺 - Microsoft 身分識別平臺是 Microsoft Entra 身分識別服務和開發人員平臺的演進。 這是一個功能完整的平臺,其中包含驗證服務、開放原始碼程式庫、應用程式註冊和設定、完整的開發人員檔、程式碼範例和其他開發人員內容。 Microsoft 身分識別平臺支援業界標準的通訊協定,例如 OAuth 2.0 和 OpenID 連線。
Azure 安全性最佳做法和模式 - 使用 Azure 設計、部署及管理雲端解決方案時要使用的安全性最佳做法集合。 指引是 IT 專業人員的資源。 這可能包括建置和部署安全 Azure 解決方案的設計工具、架構設計人員、開發人員和測試人員。
Azure 上的安全性和合規性藍圖 - Azure 安全性與合規性藍圖是資源,可協助您建置和啟動符合嚴格法規和標準的雲端式應用程式。
下一步
在下列文章中,我們建議安全性控制項和活動,以協助您設計、開發及部署安全應用程式。