我的安全视界观

这个问题非常好，说明提出问题的人对SDL有一定理论研究，但缺少实践，也问出了一个痛点。从严谨的角度来说，在设计阶段提出的安全设计，需要验证是否业务团队是否都落实？通常在设计阶段会评审和检查设计方案，在编码阶段也会去进一步实现，不过得等到测试阶段来验证效果，由此可以看出安全测试的一个主要目的是：验证安全设计是否实施。 安全测试的内容又不止安全设计，完整的来讲还要包括：安全需求、部署环境时配置不当引入的安全问题等。但是在实际落地过程中，由于资源、人员等因素，会导致少有公司能够完全按照安全设计去写测试用例，然后一项项的进行测试。同时为了保证安全性，通常会引入各类AST工具及人工渗透等方式，在上线前尽可能多的发现问题。 所以，可以认为安全测试解决的问题范围理论上包含了安全设计，但实际可能会出现遗漏。 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL如何做成平台化以及价值？ 安全SDK提供安全API是怎么做的？ 安全测试，测不出逻辑漏洞怎么办？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 按千行代码漏洞数进行量化，如何制定指标？ 如何定位安全与业务的关系？ 如何定位安全培训？ SDL 74/100问：有没有SDL相关的监管要求？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

严格意义来讲，还没有监管对软件开发提出过单独的要求，但是有软件开发安全相关的标准，比如：《应用软件安全编程指南》提出应用软件安全编程的通用框架，《代码安全审计规范》规定代码安全的审计过程以及典型审计指标，《软件安全开发能力评估技术规范》包含软件安全开发能力成熟度模型（SSDCMM）等。 不过在未来，还真有可能出现类似的监管要求，因为网络安全发展肯定是逐步往左移、会更进一步精细化到软件研发生命周期中。 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL如何做成平台化以及价值？ 安全SDK提供安全API是怎么做的？ 安全测试，测不出逻辑漏洞怎么办？ 如何逐步建设XAST安全测试工具？ 如何设计安全开发平台的架构和功能？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 按千行代码漏洞数进行量化，如何制定指标？ 如何定位安全与业务的关系？ SDL 73/100问：如何定位安全培训？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

在安全开发流程（SDL）中，安全培训的定位既要 “知识传递” ，又要是 “能力建设”。通过覆盖全角色、全流程的体系化培训，将安全意识与技能转化为开发团队的内生能力，这是安全培训的终极目标。 安全培训几乎贯穿了整个SDL，包括安全规范、标准的宣传培训，亦可是安全设计、威胁分析的技能培训，还是安全工具的使用培训、漏洞修复培训等。不过，有三条经验可以借鉴： 1、根据培训群体，定制针对性的课件才会更加有效果； 2、借助公司组织，比如技术学院等联合扩大培训范围； 3、为了更好效果，可以设置考试甚至将内容融入检测。 为了推行SDL，安全培训必不可少，尤其是在一个技术氛围浓厚的团队中，很容易忽视或轻视此活动。 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL如何做成平台化以及价值？ 安全SDK提供安全API是怎么做的？ 安全测试，测不出逻辑漏洞怎么办？ 如何逐步建设XAST安全测试工具？ 如何设计安全开发平台的架构和功能？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 按千行代码漏洞数进行量化，如何制定指标？ SDL 72/100问：如何定位安全与业务的关系？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？

本文是第七篇，DevSecOps实施的第四个关键准备（4/4），系统化的介绍研发安全工具链。从安全工具的选型、建设优先级、自动化重定义到运营时遇到的典型问题，基本把该领域建设的路线图进行了完整描绘，对于研发安全工作的开展打下夯实基础。

无论走到哪儿，安全都是业务的属性，这肯定是不变的。我比较有幸主持过应用安全、安全防护、安全运营等多个网络安全工种的工作，也参与了安全高要求客户、供应商安全的交流，看到一些安全部门常常扮演的是监管角色，但是多层级的组织架构。 就研发安全而言，业务线需要有安全人员，做业务的安全治理，扮演帮手、与业务线同甘苦共患难；公司内还要有集团级的安全团队，做安全能力输出和监管，负责集团整体安全，包括检查业务线安全状况，这样才是合理又有效的人员配置。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL如何做成平台化以及价值？ 安全SDK提供安全API是怎么做的？ 安全测试，测不出逻辑漏洞怎么办？ 如何逐步建设XAST安全测试工具？ 如何设计安全开发平台的架构和功能？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ SDL 71/100问：按千行代码漏洞数进行量化，如何制定指标？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

在安全领域，似乎很少用千行代码漏洞数来制定指标，不过在一些SAST工具上却可以常见这个说法。我们谈代码安全质量，一般就直接说漏洞数。问题中的说法，可能是和团队的背景和知识有关，比如安全挂在研发团队下，对代码质量的评判就会通过千行代码缺陷数来评估。所以，我也不会去否定这种说法。 不过针对问题，我的答案是“量体裁衣，循序渐进”。每家公司、甚至同一公司的不同产线的代码安全质量，肯定都是不一样的，而且水平参差不齐。所以制定这个指标时，比较好的办法是：先跑起来摸清水位，再根据实际数量、制定跳一跳够得着的指标，迭代提升指标、才会越做越好。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL如何做成平台化以及价值？ 安全SDK提供安全API是怎么做的？ 安全测试，测不出逻辑漏洞怎么办？ 如何逐步建设XAST安全测试工具？ 如何设计安全开发平台的架构和功能？ 大家都有哪些SDL运营指标？ SDL 70/100问：业务系统是否可以带漏洞上线？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

这种情况在实际场景中，是存在的。所以在制定开发安全提测规范等制度时，应该考虑进去，并明确不同扫描器发现的不同等级漏洞验收标准，对于达不到要求的，需要开辟“绿色通道”： 1、审批流程要有高度：比如安全团队针对未修复的漏洞做出评估，由业务线一把手甚至CTO进行审批，同意后方可上线； 2、安全要为业务护航：除了跟进业务修复外，还应该在业务带病上线时制定对应的防护、监测措施，要第一时间发现漏洞被利用并处置。 此处尤其想说的是第二点，不少同行道听途说、觉得把责任分清楚就好，但若业务因此出了安全事件，高层领导会以为与安全团队无关？我想答案无需再述，大家心里已明白。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL如何做成平台化以及价值？ 安全SDK提供安全API是怎么做的？ 安全测试，测不出逻辑漏洞怎么办？ 如何逐步建设XAST安全测试工具？ 如何设计安全开发平台的架构和功能？ SDL 69/100问：大家都有哪些SDL运营指标？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

谈指标，首先要弄清楚考核的对象是谁？从问题来看，此处应该是对SDL安全运营人员。不过又可以分为广义和狭义，前者泛指从事SDL相关人员、尤其适合中小型团队，后者则仅指运营岗位上的人员、主要负责流程、体系、推动检测等工作。先说下广义的指标： 1、安全测试覆盖率：所有产品在上线前进行安全测试的情况，最理想状态是100%经过完整的安全测试，不过会出现各类古怪的bypass情况； 2、非自主发现漏洞比例：通过SRC、CVND等外部渠道接收到的产品相关安全漏洞数量占总体比例，越小说明SDL做的越好。 以上是比较通用的运营指标，按照不用风险等级亦可以继续细分，如高危漏洞修复率、中危漏洞修复率等，不过并非全部指标都应在很高水位，应该结合实际水平而定。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL如何做成平台化以及价值？ 安全SDK提供安全API是怎么做的？ 安全测试，测不出逻辑漏洞怎么办？ 如何逐步建设XAST安全测试工具？ SDL 68/100问：如何设计安全开发平台的架构和功能？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

对安全开发平台的定位，肯定是服务于各产品线做安全提测、安全扫描使用，尽可能嵌入到项目管理、软件开发流程中，即：从流程和系统对接上，都需要打通。 从目前使用情况来看，最常用的功能是： 1、产线侧：安全提测工单及流程、各类安全检测工具调用及使用、漏洞工单修复等功能； 2、安全侧：安全提测工单及审核、漏洞提交流程、各产线安全态势及评估指标等功能； 3、管理视角：整体的研发安全指标及安全态势。 然而在这些功能的基础前，需要做大量的安全检测工具整合与调度、漏洞数据整合、分析及展示等基础工作。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 如何在隔离环境中修复大量的Java漏洞？ SDL如何做成平台化以及价值？ 安全SDK提供安全API是怎么做的？ 安全测试，测不出逻辑漏洞怎么办？ SDL 67/100问：如何逐步建设XAST安全测试工具？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

一般而言，都是倒着建设的顺序，类似出了信息安全事件之后的救火，“从右往左”开始建设。就软件开发流程而言，则是从测试阶段到编码阶段： 1、DAST：测试阶段的中后期，部署好测试环境后进行主机、web漏洞扫描； 2、IAST：测试阶段的前中期，在部署测试环境的同时插入探针，随着功能测试开展安全测试； 3、SAST：编码阶段的安全活动，也可前置到开发提交代码时触发扫描，同期的安全活动还有SCA。 综上是常见XAST工作的阶段及推荐顺序，因为大概率是重头开始建设，安全人员、技术能力等各方面的能力、资源都还不够成熟，产品线也需要慢慢适应这个过程。各类工具独具特点，最大的技术拦路虎是误报，不过只要投入安全人员进行运营，也会走到可落地推行的状态。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 如何在隔离环境中修复大量的Java漏洞？ SDL如何做成平台化以及价值？ 安全SDK提供安全API是怎么做的？ SDL 66/100问：安全测试，测不出逻辑漏洞怎么办？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

安全测试肯定是可以发现逻辑漏洞，但也肯定会出现遗漏、以及效率不高，因为没有通用的检测工具，大多安全测试都是人工做的，主要依赖于个人思路、经验以及责任心。 最常见的逻辑漏洞就是未授权、越权等导致敏感信息泄露或导致攻击，因此这些漏洞也是企业重点治理的对象。 就小公司而言，可能投入人力做手工测试是不错的方法，最好是不同人员交叉测试；对于大公司来说，技术能力强可以基于业务做检测工具，进行自动化检测建设。两种情况都会出现遗漏，则可以通过运营SRC、做众测等方式，作为内部发现逻辑漏洞的补充，从而达到相对好的治理效果。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 如何在隔离环境中修复大量的Java漏洞？ SDL如何做成平台化以及价值？ 安全SDK提供安全API是怎么做的？ SDL 65/100问：对移动客户端做安全测试，哪款工具比较好？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

针对移动客户端的安全测试，由于端的差异（Android/IOS/鸿蒙），使用到的工具也会不太一样。不过需要关注以下两方面： 1、安全漏洞：纯客户端的漏洞，比如权限相关不安全的设置、本地明文存储敏感信息；客户端到业务端的漏洞，比如协议存在缺陷、服务端对应端口服务的业务漏洞等； 2、隐私合规：国内监管检查的比较多，检测方法与工具比较成熟，是一个必须关注的问题面。 漏洞方面的检测工具，可以分为代码层面的静态检测、apk静态检测、手工做安全测试，模拟器、抓包工具等都比较常见；隐私合规方面，主要推荐商业的工具吧，开源的好像也有但没用过。 PS：鸿蒙应用的安全测试技术与需求正在增长，目前还没见到比较全的方法，对于移动客户端安全的同学来说，是一次超车的机会。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 如何在隔离环境中修复大量的Java漏洞？ SDL如何做成平台化以及价值？ SDL 64/100问：安全SDK提供安全API是怎么做的？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

说起安全SDK，算是研发安全团队想要冲击的一块高地，恰好我们团队在前两年也做了一些尝试，但结果不尽如人意。 事后我也分析了一下失败的原因，主要还是在“自然状态下，研发有自己的开发习惯，不信任、不想用其他（安全）人员提供的组件“。最初是作为CBB嵌入公司主流开发框架，同时从漏洞修复方面引导产品线使用，此外我们做了内部的技术分享、视频推广，当一切就绪后，却只有产线试用、没有在生产环境应用。 至此我又做了一些思考，如果要做起来、只能等待东风：公司做整体的技术架构管控或重构，然后趁机深度融入架构师或基础组件团队，要有研发团队托底，安全人员并不一定要写代码、输出设计思路和安全能力测试就行。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 软件安全领域有哪些成熟度模型？ 如何在隔离环境中修复大量的Java漏洞？ 如何处理扫描出的三方组件开源协议风险？ SDL 63/100问：SDL如何做成平台化以及价值？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

这个话题比较有意思，因为我们这几年也做了自己的研发安全平台，其初衷主要有以下几点： 1、业务驱动：各种安全扫描工具比较多，产线使用起来很麻烦，做了平台之后安全扫描工具的扫描结果可以都发到平台上，统一处理和管理； 2、效能提升：研发安全团队的各类工具，比如安全测试报告生成工具都集成到平台，产品线就能生成报告；与其他系统打通，又可以提升效率； 3、成果展示：类似态势感知的大屏展示，可以把安全团队/个人／产品线的指标做实时的展示和分析，快速输出数据做汇报和对外展示。 这其实都是研发安全发展到一定阶段的必定产物，也许有人会说为什么不把这些数据放到devops平台、bug管理系统？其实也可，具体缘由不由分说。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 软件安全领域有哪些成熟度模型？ 如何在隔离环境中修复大量的Java漏洞？ SDL 62/100问：如何处理扫描出的三方组件开源协议风险？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

在国内，这类事件带来的风险事件还比较少，感受比较明显的是公司收到过QT的律师函。不过，从风险治理的角度来说，这类风险搞不好要打官司、不容忽视。有见过比较强管理的方法：不允许使用强传染性的开源组件，但是对业务造成的影响很大，况且安全团队并没有那么高的话语权；其次是对强传染性的协议进行分析，比如LGPL的组件，要用就必须以动态链接的方式，否则就得开源产品代码。 综合来讲，这类风险需要提前纳入治理计划，需要从高层建设治理组织，最好是从源头做统一的、公司级的开源组件管理。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL是否适合互联网公司？ 如何计算安全评审的覆盖率？ 研发安全管理用哪些工具？ ATT＆CK与SDL能否混搭使用？ 软件安全领域有哪些成熟度模型？ SDL 61/100问：如何在隔离环境中修复大量的Java漏洞？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急响应：redis挖矿（防御篇） 应急响应：redis挖矿（攻击篇） 应急响应：redis挖矿（完结篇） 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

记参加“华为合作伙伴网络安全管理前移赋能培训会”，引发对安全测试的深入思考。

由于环境有限制，可以尝试从四方面入手： 1、梳理漏洞修复范围：自研代码的漏洞，还是Java项目中使用到的开源组件的漏洞？前者在代码中直接修复即可，后者需要依赖第三方； 2、明确漏洞修复标准：根据要求明确必须修复的漏洞类型，比如按照风险等级、对外有传播poc的漏洞等区分，可根据实际情况分级修复； 3、漏洞修复常见方法：使用或搭建内部的Maven等仓库，将最新或安全的版本下载到本地仓库，Java项目通过内部第三方仓库进行修复； 4、内部搭建仓库的建议：这是长期的解决之道，亦是从源头管控的方法。不过入库前需进行安检，并常态化做预警及体检。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL是否适合互联网公司？ 如何计算安全评审的覆盖率？ 研发安全管理用哪些工具？ ATT＆CK与SDL能否混搭使用？ SDL 60/100问：软件安全领域有哪些成熟度模型？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急响应：redis挖矿（防御篇） 应急响应：redis挖矿（攻击篇） 应急响应：redis挖矿（完结篇） 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

由于环境有限制，可以尝试从四方面入手： 1、梳理漏洞修复范围：自研代码的漏洞，还是Java项目中使用到的开源组件的漏洞？前者在代码中直接修复即可，后者需要依赖第三方； 2、明确漏洞修复标准：根据要求明确必须修复的漏洞类型，比如按照风险等级、对外有传播poc的漏洞等区分，可根据实际情况分级修复； 3、漏洞修复常见方法：使用或搭建内部的Maven等仓库，将最新或安全的版本下载到本地仓库，Java项目通过内部第三方仓库进行修复； 4、内部搭建仓库的建议：这是长期的解决之道，亦是从源头管控的方法。不过入库前需进行安检，并常态化做预警及体检。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL是否适合互联网公司？ 如何计算安全评审的覆盖率？ 研发安全管理用哪些工具？ ATT＆CK与SDL能否混搭使用？ SDL 60/100问：软件安全领域有哪些成熟度模型？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急响应：redis挖矿（防御篇） 应急响应：redis挖矿（攻击篇） 应急响应：redis挖矿（完结篇） 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

目前比较知名的相关模型包括：构建安全成熟度模型（BSSIM）、软件保障成熟度模型（OWASP SAMM）、软件安全能力成熟度模型（中国信息安全测评中心 SSCMM）、CMMI+SAFE（卡内基梅隆大学开发，作为 CMMI-DEV 的扩展）、NIST CSF框架等。 在这些模型中，活跃度比较高的是BSSIM，一些在安全领域做得好的企业，常用于评估或改进软件安全能力的框架，企业可以自评确定当前的安全水平及规划提升路径（网上早已流传自评表）。亦可找第三方公司进行评估，证明软件安全的能力以帮助业务提升竞争力。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL是否适合互联网公司？ 如何计算安全评审的覆盖率？ 研发安全管理用哪些工具？ 线上系统变更，不安全提测怎么办？ ATT＆CK与SDL能否混搭使用？ SDL 59/100问：关于第三方组件安全扫描系统的运营，可以定哪些指标？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急响应：redis挖矿（防御篇） 应急响应：redis挖矿（攻击篇） 应急响应：redis挖矿（完结篇） 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

目前比较知名的相关模型包括：构建安全成熟度模型（BSSIM）、软件保障成熟度模型（OWASP SAMM）、软件安全能力成熟度模型（中国信息安全测评中心 SSCMM）、CMMI+SAFE（卡内基梅隆大学开发，作为 CMMI-DEV 的扩展）、NIST CSF框架等。 在这些模型中，活跃度比较高的是BSSIM，一些在安全领域做得好的企业，常用于评估或改进软件安全能力的框架，企业可以自评确定当前的安全水平及规划提升路径（网上早已流传自评表）。亦可找第三方公司进行评估，证明软件安全的能力以帮助业务提升竞争力。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL是否适合互联网公司？ 如何计算安全评审的覆盖率？ 研发安全管理用哪些工具？ 线上系统变更，不安全提测怎么办？ ATT＆CK与SDL能否混搭使用？ SDL 59/100问：关于第三方组件安全扫描系统的运营，可以定哪些指标？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急响应：redis挖矿（防御篇） 应急响应：redis挖矿（攻击篇） 应急响应：redis挖矿（完结篇） 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验