在软件开发的需求阶段，应将合规安全需求纳入考虑，并排期实施。以图片上传功能为例，需关注涉H图片漏洞风险，选择大厂服务并定期测试接口可用性，避免内容安全风险。软件开发生命周期安全（SDL）包含安全需求、设计、开发、测试、审核、响应等环节，旨在提升软件安全性。

📝 **安全需求管理**: 在软件开发初期，将合规安全需求纳入需求池，并排期实施，确保安全考虑贯穿整个开发流程。

🎨 **图片上传安全**: 针对 图片上传并展示到公众页面的功能，需关注涉H图片漏洞风险，选择信誉良好的第三方服务，并定期测试接口可用性，避免内容安全风险。

🛡️ **软件开发生命周期安全 (SDL)**: SDL包含安全需求、设计、开发、测试、审核、响应等环节，通过在每个阶段融入安全措施，提升软件整体安全性。

aerfa21 2025-08-15 06:07 浙江

这是一个合规问题，在软件开发的需求阶段，以安全需求的形式提出来，让业务方放到需求池中排期做。

在此之前我也没有关注这方面的意识，直到SRC收到白帽子提交的涉H图片漏洞，才意识到这方面应该纳入考虑，应用场景主要是：图片上传并展示到公众页面的功能，比如上传头像、论坛中允许发图片等。

在选择时，应该首选大厂，定期测试接口的可用性以及是否正常，避免过度信任带来内容安全风险。

-------------更多内容，请访问-------------

1、SDL 100问

SDL100问：我与SDL的故事

SAST误报太高，如何解决？

SDL需要哪些人参与？

大家都有哪些SDL运营指标？

业务系统是否可以带漏洞上线？

日常的漏洞运营，也应该是SDL团队来做吗？

关于开发安全BP，对开展SDL有哪些帮助？

SDL 79/100问：如何塑造开发安全文化？

SDL 80/100问：怎样算是IAST扫描，都有哪些模式？

SDL 81/100问：如何快速应急开源组件漏洞，比如fastjson？

SDL 82/100问：说到供应链，有没有第三方信息安全相关的法规或者标准？

2、SDL创新实践

首发！“ 研发安全运营 ” 架构研究与实践

DevSecOps实施关键：研发安全团队

DevSecOps实施关键：研发安全流程

DevSecOps实施关键：研发安全规范

DevSecOps实施关键：研发安全工具

从安全视角，看研发安全

数字化转型下研发安全痛点

一个思考：安全测试驱动产品安全？

3、SDL最初实践

【SDL最初实践】开篇

【SDL最初实践】安全培训

【SDL最初实践】安全需求

【SDL最初实践】安全设计

【SDL最初实践】安全开发

【SDL最初实践】安全测试

【SDL最初实践】安全审核

【SDL最初实践】安全响应

4、安全运营实践

基于实践的安全事件简述

安全事件运营SOP：钓鱼邮件

安全事件运营SOP：网络攻击

安全事件运营SOP：蜜罐告警

安全事件运营SOP：webshell事件

安全事件运营SOP：接收漏洞事件

应急能力提升：实战应急困境与突破

应急能力提升：挖矿权限维持攻击模拟

跳转微信打开