6.各軟件安全開發模型的特點

事實上，SDL、BSI系列、CLASP以及SAMM都提供了一個廣泛的活動集合，覆蓋了軟件開發生命周期的多個方面。這些模型大都經過相關公司或安全組織的實踐驗證，如微軟在內部強制使用SDL、加入OWASP的多家頂級安全公司使用CLASP進行軟件安全開發管理等。與傳統的軟件開發模型相比，應用這些模型有助于提高軟件產品的安全性。軟件企業可以根據自身實際，依據模型對現有的軟件開發過程制定改進計劃，持續不斷地提升管理和開發水平，以保障軟件產品的安全性。

從這些模型包含的內容看，它們之間既有很多相同的特點，也有很多不同，這幾種模型各自的特點可以概括為如下：

1)SDL

SDL由微軟提出，其相關文檔較為豐富。在投人大量的人力、物力進行研究和實踐后，

微軟不斷更新升級SDL版本，并通過專門網站和開發者社區對SDL進行推廣。同時，SDL還具有一個鮮明的特點，就是具有較多的自動化工具支持。SDL重視各種工具的使用，支持從需求階段到測試階段的各種工具，如威脅建模、靜態源代碼分析等工具，這些工具既有免費的，也有商業化的。

由于SDL體系較為完善，和其他安全開發流程相比，SDL被認為實施要求嚴格，適合于大型機構使用。

2) CLASP

CLASP是一個用于構建安全軟件的輕量級過程，應用該方法可以比較好地處理那些可能導致安全服務出現漏洞的軟件脆弱性。CLASP強調安全開發過程中的角色和職責，其安全活動基于角色安排。CLASP既可能用于啟動一個新的軟件開發項目，也容易和已有的軟件開發項目進行集成，它使企業能夠使用并不繁瑣且系統的流程開發出安全的軟件產品。在實踐中，CLASP容易存在的一個問題是，其定義的有些角色可能無法和某些企業中的現有人員安排進行對應。

與SDL相比，CLASP所采用的流程屬于輕量級，也能夠和多種軟件開發模型相結合，因此，對小型軟件企業更具有吸引力。