我的安全视界观

不少群友都提及绩效导向与领导层的支持，对此我亦持赞同立场。然而，在此基础上，我们更需从研发视角出发，精心筹备安全检查清单（checklist）。我曾与一位研发总监深入交流，他虽对安全工作表达了积极支持，却对填写checklist感到为难： 团队协作难题：同一产品往往牵涉多个研发团队，如何确保各团队均能参与填写，并明确责任归属？ 填写时机模糊：设计初期填写可能因信息不足而效果欠佳，开发后期则可能错失引导时机，究竟何时填写最为适宜？ 内容理解障碍：checklist内容繁杂、粒度不一，且多从安全工程师视角撰写，导致研发人员难以准确理解。 鉴于此，初期应侧重于实施SAST、DAST及架构安全评审等更为基础且有效的安全措施。待体系成熟后，再行考虑引入checklist。同时，我们应致力于简化并系统化checklist，降低其复杂度，并减少自检查的频率，方能确保安全检查清单在组织中得以顺利推行并发挥实效。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ 有没有好用的SDL平台？ Sonar是否好用以及误报率咋样？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ SDL 36/100问：在研发安全流程落地方面，有何经验？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

不少群友都提及绩效导向与领导层的支持，对此我亦持赞同立场。然而，在此基础上，我们更需从研发视角出发，精心筹备安全检查清单（checklist）。我曾与一位研发总监深入交流，他虽对安全工作表达了积极支持，却对填写checklist感到为难： 团队协作难题：同一产品往往牵涉多个研发团队，如何确保各团队均能参与填写，并明确责任归属？ 填写时机模糊：设计初期填写可能因信息不足而效果欠佳，开发后期则可能错失引导时机，究竟何时填写最为适宜？ 内容理解障碍：checklist内容繁杂、粒度不一，且多从安全工程师视角撰写，导致研发人员难以准确理解。 鉴于此，初期应侧重于实施SAST、DAST及架构安全评审等更为基础且有效的安全措施。待体系成熟后，再行考虑引入checklist。同时，我们应致力于简化并系统化checklist，降低其复杂度，并减少自检查的频率，方能确保安全检查清单在组织中得以顺利推行并发挥实效。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ 有没有好用的SDL平台？ Sonar是否好用以及误报率咋样？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ SDL 36/100问：在研发安全流程落地方面，有何经验？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

常见的研发安全流程有：安全提测流程、漏洞修复流程、绿色通道上线流程等，这些流程的落地离不开现有研发流程及卡点。 1、先说研发流程，其实应该涉及产品的立项、需求评审、架构评审及上线前的审核等，安全的相关流程应该保持与研发流程一致； 2、再说安全卡点，一般设置在资源申请（内网应用系统如域名资源）、规则申请（外网应用系统如ACL映射），可以在这些关键节点上加上安全验收检查，以保证流程的落地应用。 安全流程的落地一定要尽可能轻量、柔和接入，还要保持处理效率。因此SDL做到最后，肯定是需要一个线上化的平台来处理流程在内的所有相关事情。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ 有没有好用的SDL平台？ Sonar是否好用以及误报率咋样？ 如何推进有问题的jar包更新？ SDL 35/100问：SCA工具的误报率怎样？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

如果从漏洞可以利用的角度出发，那误报率就是很高，因为这些CVE漏洞并不都能被利用、结合具体业务场景更不会触发漏洞（实际可能并没有使用到存在漏洞的配置或函数）...但从治理角度来说，不能仅看误报率，而是要看这个SCA工具的拆包能力和漏洞库。 从目前遇到的情况来看，想向大家分享三条真相： 1、SCA工具普遍对C/C++使用的开源组件识别不够好； 2、自家团队没弄出来POC的漏洞，不代表外部人弄不出来； 3、对开源组件的片段代码引用、代码查重，将会越来重视。 以上1-2点都是自己血淋淋的教训，而且还都发生在今年的国家级攻防演习中，希望在做开源安全治理时有所启发。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ 有没有好用的SDL平台？ Sonar是否好用以及误报率咋样？ SDL 34/100问：如何推进有问题的jar包更新？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

关于jar更新问题，属于开源组件安全治理的范畴。从SDL体系上来看，还是应该纳入到统一的漏洞管理流程中跟进，即使这个问题可能是后门或强传染性开源协议。 在推动开源组件修复的过程中，可能会遇到：漏洞太多推哪些修、如何让开发愿意修等难题。若是初期可以小范围试点推修，比如有公开POC的先修；慢慢再扩大范围为所有高风险、甚至中风险。 切记不要随着开发的思路：验证成功了，再修。因为开源组件CVE漏洞验证成功水太深（业务场景不熟悉、技术水平达不到、漏洞数量太多...），按这个路数大概率会走向失败。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ 有没有好用的SDL平台？ Sonar是否好用以及误报率咋样？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

漏洞风险等级，通常与漏洞对系统的影响程度和被利用的难易程度紧密相关。其计算方法比较出名、比较推荐的是CVSS，最新已经到4.0版本，First官方有提供在线计算器，但也可以写成脚本工具方便使用。 从应用场景来看，理论上是统一漏洞定级、方便推修及管理。但实际在公司内部通常不做那么复杂的计算，大概率直接参照安全检测工具给出的等级。在一些高要求的场景中会用到，比如华为对供应商的漏洞上报要求中，因此有必要知道和熟练掌握。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ SDL 31/100问：有没有好用的SDL平台？ SDL 32/100问：Sonar是否好用以及误报率咋样？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

代码安全扫描的误报率居高不下，一直是业界的难题。就当前的技术来说，唯有结合实际代码人工运营检测规则，才会有不错效果，所以不打算深入聊误报率。 既然遇到这个话题，不妨说下SonarQube(Sonar的一个版本)，是一个用于代码质量检测和管理的平台，可检测Bug、坏味道、漏洞等。通过插件形式支持检测多种开发语言，漏洞类型涉及OWASP top 10 (2021)、CWE等编号的漏洞。若使用其进行安全性扫描，至少有2个好处： 1、接入开发流程时间更早：大概率会比安全团队的其他工具更早，因为这是代码质量管理的常见工具，易于与Jenkins、gitlab等各种开发工具集成； 2、质量问题处置流程完善：代码bug修复的需求肯定是优先于安全问题，因为要解决软件可用性问题，所以相关流程、考核指标建设早、会更加完善。 但在实际场景中，大多数安全团队为什么不用？有个关键点是：配置管理团队给不给安全团队使用，这是权责与利益问题。此外，曾做过对比测试，专业的SAST工具在检测规则数量、实际检出效果方面（均为默认规则），也确实比SonarQube好。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ SDL 31/100问：有没有好用的SDL平台？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

在SDL的开展过程中，随着接入的产品线越来越多、安全测试工具越来越多，产出的疑似漏洞或漏洞也就会越来越多，这时候就会需要一个平台来统一管控。 从目前来看，市场上并没有出现比较出名的标品，其原因可能是各家研发基础设施和流程不同，因此有很多定制化的需求。不过还是围绕解决问题出发，一个好用的SDL平台至少需要具备： 1、安全测试工具联动，如SAST、SCA、DAST、IAST的扫描任务管理、漏洞同步、规则调优等； 2、开发安全流程线上化，如带病上线的绿色通道申请流程、安全提测加急流程、漏洞修复流程等； 3、多种角色使用的功能，如安全工程师（安全测试）、产品线领导（风险态势）、产线开发人员（漏洞修复）等。 然而，以上这些都是需要在实践之后才能做得好，这也是SDL平台的宝贵之处。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SDL与DevSecOps有何异同？ 如何在不同企业实施SDL？ SAST误报太高，如何解决？ SDL需要哪些人参与？ 在devops中做开发安全，会遇到哪些问题？ 如何实施安全需求？ 安全需求，有哪些来源？ 安全需求怎么实现自动化？ 实施安全需求，会遇到哪些难题？ 安全需求和安全设计有何异同及关联？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ 在编码阶段加入安全检查后，如何处理带来的时间压力？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

这是一个好迹象，说明已经开始关注开源组件的安全性。不过估计是在开源治理的初期。从建设阶段来说更重要的是看是否有预算投入，有充足预算肯定建议是用商用，没有预算则引入开源工具也尚可。无论是自研还是外购，有几条经验可以分享： 1、尽可能的要嵌入研发流程，自动化触发扫描，以及漏洞推送； 2、刚开始推广时，可能会在漏洞修复方面遇到困难，所以可以先要求风险非常高的组件及漏洞，再慢慢扩展开来； 3、对于开源组件，除了漏洞之外，还要关注许可证协议、后门，在一些行业许可证的合规性优先级可能更高，后门是深水区、有必要做但真正做得好的还不多。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SDL与DevSecOps有何异同？ 如何在不同企业实施SDL？ SAST误报太高，如何解决？ SDL需要哪些人参与？ 在devops中做开发安全，会遇到哪些问题？ 如何实施安全需求？ 安全需求，有哪些来源？ 安全需求怎么实现自动化？ 实施安全需求，会遇到哪些难题？ 安全需求和安全设计有何异同及关联？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ 在编码阶段加入安全检查后，如何处理带来的时间压力？ SDL 29/100问：白盒检测工具存在局限性，如何进行补偿？ 2、SDL最初实践系列 开篇 安全需求 安全设计 安全开发 安全测试 安全审核 安全响应 3、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

本文经过长期一线研发安全工作实践，首次提出 “ 研发安全运营” 概念与架构，重点讨论了研发安全运营关键要素，并给出了实际案例和经验总结。

安全行业的打卡活动，质量少见又稀缺。

本文是第六篇，DevSecOps实施的第三个关键准备（3/4），系统化的介绍研发安全相关规范体系。从设计思路、技巧到实践经验，描述了规范的应用，以全面支撑研发安全工作在公司层面的开展。

本文是“深耕研发安全”系列的第五篇，DevSecOps实施的第二个关键准备（2/4）。主要介绍研发安全流程体系，从卡点的选取、安全提测主流程的设计到流程的缺陷补偿，全方位支撑研发安全工作在公司层面的全线开展。

本文是“深耕研发安全”系列的第四篇，正式步入DevSecOps实施前的准备阶段。文中首次提出“研发安全团队”及架构，既是理想中的完备团队，又是做好研发安全工作必备的最小能力集。

在上一篇中，找到了研发安全的切入点，按照常规思路就应该想出对应的解决之道。本文将深入“架构-编码-配置 + 应急响应”，针对漏洞生产源，提出治理的实践方法及经验。

本文是“深耕研发安全”系列的第二篇，主要介绍从纯安全的视角出发，紧密围绕漏洞及治理，结合对成本的考虑，去定位研发过程中的漏洞生产源，从而找出最佳的研发安全工作切入点。

本文是”深耕研发安全”系列文章的开篇，介绍在数字化转型过程中，研发安全的工作模式与方法的迭代升级。从研发安全体系建设的角度出发，总结出难度比较大的三个典型问题。

我们生活在复杂的环境中，不应该只嗑专业技能、促长进，认知、软技能等各方面也要学习、得成长！

再过两天，就到了24年的BCS网络安全大会。部门这次承办了企业安全论坛，并且议题质量很高。在QAXSRC小安发推文后，我说也要转载分享给粉丝。在我眼里，有两个亮点值得尤为关注：1、大模型在安全运营上的应用；2、《终端安全运营实践》发布。

白盒检测工具的常见问题主要是误报和漏报，为了推广应用及实现自动化需求，误报是最开始被关注的。但从最终效果来看漏报也很重要，应该重点想办法解决： 1、工具本身的局限性：基于正则模式匹配或数据流污点跟踪等均是静态检测方法，动态数据处理、数据流中断等场景均无法检测。 2、工具能力之外漏洞：业务逻辑类（如越权）、数据安全类（如接口返回过多的敏感信息）及环境配置类漏洞，并非SAST本身的能力，均无法检测。 不过从整体SDL来看，白盒检测是产出最高的、也被寄予非常高的期望，以至于会误导领导以为能检测所有代码层面的漏洞。实则需要引入人工专项代码审计，重点review如认证处的逻辑关系、yii等SAST工具支持不友好的开发框架；在测试阶段使用DAST和IAST覆盖部分SAST检测不到的场景，如基础运行环境的安全、数据流中断的场景。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SDL与DevSecOps有何异同？ 如何在不同企业实施SDL？ SAST误报太高，如何解决？ SDL需要哪些人参与？ 在devops中做开发安全，会遇到哪些问题？ 如何实施安全需求？ 安全需求，有哪些来源？ 安全需求怎么实现自动化？ 实施安全需求，会遇到哪些难题？ 安全需求和安全设计有何异同及关联？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ SDL 28/100问：在编码阶段加入安全检查后，如何处理带来的时间压力？ 2、SDL最初实践系列 开篇 安全需求 安全设计 安全开发 安全测试 安全审核 安全响应