Web应用安全投资回报如何、从何处开始？

Question

虽然存在大量漏洞、威胁及其相应的对策，但Infosec Economics (特别是针对web应用程序)上的信息量似乎很少。

我应该研究哪些资源和工具来实现一个安全的软件开发过程，甚至是使用威胁建模？现有资源主要集中在网络安全上，因此特定于应用程序安全实践的内容(如下面的列表)是我要寻找的：

1. 威胁建模
2. 代码评审
3. 渗透试验
4. 安全发展
5. 实施对策
6. 反措施费用与违约费用

Answer 1

看看微软安全开发生命周期。这是确保软件开发安全的开创性和最好的方法之一，微软已经慷慨地提供了大量的材料、资源和工具来支持生命周期。

另外，看看成熟度模型中的安全构建 (BSIMM)。BSIMM没有告诉您应该如何进行安全的软件开发。相反，它提供了一种在十几个不同维度上度量软件开发过程成熟度的方法。BSIMM的伟大之处在于，它已经应用于其他数十家公司，并且有关于其他公司评级的数据，因此您可以将自己与所在行业的其他公司进行比较，以了解自己的情况。

如果你想要特定于网络安全的材料，你可以从OWASP开始。他们有许多关于网络安全的资源、工具和文档。

有很多其他的资源，但我想你会发现这是一个很好的开端。