SSDL 接触点包括与特定软件开发工件和流程的分析和安全保证相关的实践。所有软件安全方法都包含此类实践。
架构分析包括以简明的图表充分体现软件架构、应用风险和威胁列表、采用审查流程(如 STRIDE 或架构风险分析),为组织制定评估和补救计划。
代码审查实践包括使用代码审查工具、开发量身定制的规则、针对不同职务(例如开发人员与审计人员)自定义工具使用的配置文件、人工分析以及跟踪/测量结果。
安全测试实践涉及发布前测试,包括将安全举措整合到标准质量保证流程当中。该实践包括使用黑盒安全工具(包括模糊测试)作为 QA 的冒烟测试、风险驱动型白盒测试、攻击模型的应用,以及代码覆盖率分析。安全测试着重测量构造中的安全缺陷。
