Phần mềm vận hành các chức năng cốt lõi của gần như mọi tổ chức, và các sự cố bảo mật hiếm khi bắt nguồn từ chỉ một dòng code xấu. Chúng thường xuất hiện từ các quyết định sớm như yêu cầu mơ hồ, trust boundary rủi ro, thiếu abuse case, cấu hình mặc định yếu và các giả định chưa được kiểm chứng. Cuốn sách này chỉ ra cách ngăn chặn những thất bại đó bằng cách đưa bảo mật vào phát triển phần mềm hiện đại thông qua một cách tiếp cận Secure SDLC có cấu trúc.
Bạn sẽ tập trung vào cách các nhóm thực sự làm việc: thu thập các yêu cầu liên quan đến bảo mật, mô hình hóa mối đe dọa và trust boundary, lựa chọn biện pháp giảm thiểu và pattern phù hợp, viết code an toàn, và xác thực bằng security testing phù hợp với mô hình chuyển giao của nhóm. Các artifact thực tiễn như checklist, template và tiêu chí gate sẽ giúp bạn mở rộng bảo mật trên nhiều sản phẩm mà vẫn giữ được khả năng chuyển giao ổn định và có thể dự đoán.
Xuyên suốt cuốn sách, bạn sẽ xây dựng một quy trình lặp lại được, có thể điều chỉnh cho nhiều stack công nghệ và mức độ trưởng thành khác nhau, áp dụng cho hệ thống web, enterprise và cloud-native. Bạn sẽ học cách giảm các chuỗi lỗi có thể bị khai thác và duy trì việc kiểm chứng các giả định theo thời gian. Các artifact cũng giúp các nhóm luôn thống nhất với nhau.
Khi đọc xong, bạn sẽ có khả năng triển khai một chương trình Secure SDLC giúp cải thiện kết quả bảo mật mà không tạo ra thủ tục rườm rà không cần thiết, với các hành động rõ ràng cho từng giai đoạn, các loại bằng chứng cần thu thập và một định nghĩa hoàn thành chung.
Bạn sẽ học được:
- Chuyển các mục tiêu bảo mật thành yêu cầu cụ thể và tiêu chí chất lượng có thể thực thi
- Thực hiện threat modeling bằng trust boundary, abuse case và ưu tiên dựa trên rủi ro
- Áp dụng các nguyên lý secure design, pattern và biện pháp giảm thiểu phù hợp với các đánh đổi thực tế
- Ngăn ngừa các lỗ hổng phổ biến bằng thực hành secure coding và review gọn nhẹ
- Tích hợp security testing như SAST, DAST, kiểm tra dependency và SBOM vào CI/CD
- Xác định và vận hành các security gate như design review, bug bar và release readiness
- Phân loại và khắc phục các phát hiện một cách hiệu quả, đồng thời cải thiện feedback loop theo thời gian
Cuốn sách này dành cho software engineer, tech lead, security champion và chuyên gia application security muốn có một phương pháp thực tiễn, có hệ thống để xây dựng phần mềm an toàn. Việc quen thuộc với mô hình chuyển giao hiện đại như CI/CD, cloud, web hoặc microservices sẽ là một lợi thế.
Mục lục
- Tổng quan và tư duy về Secure SDLC
- Mô hình hóa yêu cầu với trọng tâm bảo mật
- Kiến trúc và thiết kế
- Threat modeling và ưu tiên dựa trên rủi ro
- Biện pháp giảm thiểu, security pattern và cryptography trong Secure SDLC
- Nền tảng secure coding và các lớp lỗ hổng phổ biến
- Chiến lược security testing và tích hợp toolchain
- Secure CI/CD pipeline
