我的安全视界观

一般而言，都是倒着建设的顺序，类似出了信息安全事件之后的救火，“从右往左”开始建设。就软件开发流程而言，则是从测试阶段到编码阶段： 1、DAST：测试阶段的中后期，部署好测试环境后进行主机、web漏洞扫描； 2、IAST：测试阶段的前中期，在部署测试环境的同时插入探针，随着功能测试开展安全测试； 3、SAST：编码阶段的安全活动，也可前置到开发提交代码时触发扫描，同期的安全活动还有SCA。 综上是常见XAST工作的阶段及推荐顺序，因为大概率是重头开始建设，安全人员、技术能力等各方面的能力、资源都还不够成熟，产品线也需要慢慢适应这个过程。各类工具独具特点，最大的技术拦路虎是误报，不过只要投入安全人员进行运营，也会走到可落地推行的状态。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 如何在隔离环境中修复大量的Java漏洞？ SDL如何做成平台化以及价值？ 安全SDK提供安全API是怎么做的？ SDL 66/100问：安全测试，测不出逻辑漏洞怎么办？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

安全测试肯定是可以发现逻辑漏洞，但也肯定会出现遗漏、以及效率不高，因为没有通用的检测工具，大多安全测试都是人工做的，主要依赖于个人思路、经验以及责任心。 最常见的逻辑漏洞就是未授权、越权等导致敏感信息泄露或导致攻击，因此这些漏洞也是企业重点治理的对象。 就小公司而言，可能投入人力做手工测试是不错的方法，最好是不同人员交叉测试；对于大公司来说，技术能力强可以基于业务做检测工具，进行自动化检测建设。两种情况都会出现遗漏，则可以通过运营SRC、做众测等方式，作为内部发现逻辑漏洞的补充，从而达到相对好的治理效果。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 如何在隔离环境中修复大量的Java漏洞？ SDL如何做成平台化以及价值？ 安全SDK提供安全API是怎么做的？ SDL 65/100问：对移动客户端做安全测试，哪款工具比较好？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

针对移动客户端的安全测试，由于端的差异（Android/IOS/鸿蒙），使用到的工具也会不太一样。不过需要关注以下两方面： 1、安全漏洞：纯客户端的漏洞，比如权限相关不安全的设置、本地明文存储敏感信息；客户端到业务端的漏洞，比如协议存在缺陷、服务端对应端口服务的业务漏洞等； 2、隐私合规：国内监管检查的比较多，检测方法与工具比较成熟，是一个必须关注的问题面。 漏洞方面的检测工具，可以分为代码层面的静态检测、apk静态检测、手工做安全测试，模拟器、抓包工具等都比较常见；隐私合规方面，主要推荐商业的工具吧，开源的好像也有但没用过。 PS：鸿蒙应用的安全测试技术与需求正在增长，目前还没见到比较全的方法，对于移动客户端安全的同学来说，是一次超车的机会。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 如何在隔离环境中修复大量的Java漏洞？ SDL如何做成平台化以及价值？ SDL 64/100问：安全SDK提供安全API是怎么做的？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

说起安全SDK，算是研发安全团队想要冲击的一块高地，恰好我们团队在前两年也做了一些尝试，但结果不尽如人意。 事后我也分析了一下失败的原因，主要还是在“自然状态下，研发有自己的开发习惯，不信任、不想用其他（安全）人员提供的组件“。最初是作为CBB嵌入公司主流开发框架，同时从漏洞修复方面引导产品线使用，此外我们做了内部的技术分享、视频推广，当一切就绪后，却只有产线试用、没有在生产环境应用。 至此我又做了一些思考，如果要做起来、只能等待东风：公司做整体的技术架构管控或重构，然后趁机深度融入架构师或基础组件团队，要有研发团队托底，安全人员并不一定要写代码、输出设计思路和安全能力测试就行。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 软件安全领域有哪些成熟度模型？ 如何在隔离环境中修复大量的Java漏洞？ 如何处理扫描出的三方组件开源协议风险？ SDL 63/100问：SDL如何做成平台化以及价值？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

这个话题比较有意思，因为我们这几年也做了自己的研发安全平台，其初衷主要有以下几点： 1、业务驱动：各种安全扫描工具比较多，产线使用起来很麻烦，做了平台之后安全扫描工具的扫描结果可以都发到平台上，统一处理和管理； 2、效能提升：研发安全团队的各类工具，比如安全测试报告生成工具都集成到平台，产品线就能生成报告；与其他系统打通，又可以提升效率； 3、成果展示：类似态势感知的大屏展示，可以把安全团队/个人／产品线的指标做实时的展示和分析，快速输出数据做汇报和对外展示。 这其实都是研发安全发展到一定阶段的必定产物，也许有人会说为什么不把这些数据放到devops平台、bug管理系统？其实也可，具体缘由不由分说。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 软件安全领域有哪些成熟度模型？ 如何在隔离环境中修复大量的Java漏洞？ SDL 62/100问：如何处理扫描出的三方组件开源协议风险？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

在国内，这类事件带来的风险事件还比较少，感受比较明显的是公司收到过QT的律师函。不过，从风险治理的角度来说，这类风险搞不好要打官司、不容忽视。有见过比较强管理的方法：不允许使用强传染性的开源组件，但是对业务造成的影响很大，况且安全团队并没有那么高的话语权；其次是对强传染性的协议进行分析，比如LGPL的组件，要用就必须以动态链接的方式，否则就得开源产品代码。 综合来讲，这类风险需要提前纳入治理计划，需要从高层建设治理组织，最好是从源头做统一的、公司级的开源组件管理。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL是否适合互联网公司？ 如何计算安全评审的覆盖率？ 研发安全管理用哪些工具？ ATT＆CK与SDL能否混搭使用？ 软件安全领域有哪些成熟度模型？ SDL 61/100问：如何在隔离环境中修复大量的Java漏洞？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急响应：redis挖矿（防御篇） 应急响应：redis挖矿（攻击篇） 应急响应：redis挖矿（完结篇） 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

记参加“华为合作伙伴网络安全管理前移赋能培训会”，引发对安全测试的深入思考。

由于环境有限制，可以尝试从四方面入手： 1、梳理漏洞修复范围：自研代码的漏洞，还是Java项目中使用到的开源组件的漏洞？前者在代码中直接修复即可，后者需要依赖第三方； 2、明确漏洞修复标准：根据要求明确必须修复的漏洞类型，比如按照风险等级、对外有传播poc的漏洞等区分，可根据实际情况分级修复； 3、漏洞修复常见方法：使用或搭建内部的Maven等仓库，将最新或安全的版本下载到本地仓库，Java项目通过内部第三方仓库进行修复； 4、内部搭建仓库的建议：这是长期的解决之道，亦是从源头管控的方法。不过入库前需进行安检，并常态化做预警及体检。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL是否适合互联网公司？ 如何计算安全评审的覆盖率？ 研发安全管理用哪些工具？ ATT＆CK与SDL能否混搭使用？ SDL 60/100问：软件安全领域有哪些成熟度模型？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急响应：redis挖矿（防御篇） 应急响应：redis挖矿（攻击篇） 应急响应：redis挖矿（完结篇） 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

由于环境有限制，可以尝试从四方面入手： 1、梳理漏洞修复范围：自研代码的漏洞，还是Java项目中使用到的开源组件的漏洞？前者在代码中直接修复即可，后者需要依赖第三方； 2、明确漏洞修复标准：根据要求明确必须修复的漏洞类型，比如按照风险等级、对外有传播poc的漏洞等区分，可根据实际情况分级修复； 3、漏洞修复常见方法：使用或搭建内部的Maven等仓库，将最新或安全的版本下载到本地仓库，Java项目通过内部第三方仓库进行修复； 4、内部搭建仓库的建议：这是长期的解决之道，亦是从源头管控的方法。不过入库前需进行安检，并常态化做预警及体检。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL是否适合互联网公司？ 如何计算安全评审的覆盖率？ 研发安全管理用哪些工具？ ATT＆CK与SDL能否混搭使用？ SDL 60/100问：软件安全领域有哪些成熟度模型？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急响应：redis挖矿（防御篇） 应急响应：redis挖矿（攻击篇） 应急响应：redis挖矿（完结篇） 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

目前比较知名的相关模型包括：构建安全成熟度模型（BSSIM）、软件保障成熟度模型（OWASP SAMM）、软件安全能力成熟度模型（中国信息安全测评中心 SSCMM）、CMMI+SAFE（卡内基梅隆大学开发，作为 CMMI-DEV 的扩展）、NIST CSF框架等。 在这些模型中，活跃度比较高的是BSSIM，一些在安全领域做得好的企业，常用于评估或改进软件安全能力的框架，企业可以自评确定当前的安全水平及规划提升路径（网上早已流传自评表）。亦可找第三方公司进行评估，证明软件安全的能力以帮助业务提升竞争力。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL是否适合互联网公司？ 如何计算安全评审的覆盖率？ 研发安全管理用哪些工具？ 线上系统变更，不安全提测怎么办？ ATT＆CK与SDL能否混搭使用？ SDL 59/100问：关于第三方组件安全扫描系统的运营，可以定哪些指标？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急响应：redis挖矿（防御篇） 应急响应：redis挖矿（攻击篇） 应急响应：redis挖矿（完结篇） 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

目前比较知名的相关模型包括：构建安全成熟度模型（BSSIM）、软件保障成熟度模型（OWASP SAMM）、软件安全能力成熟度模型（中国信息安全测评中心 SSCMM）、CMMI+SAFE（卡内基梅隆大学开发，作为 CMMI-DEV 的扩展）、NIST CSF框架等。 在这些模型中，活跃度比较高的是BSSIM，一些在安全领域做得好的企业，常用于评估或改进软件安全能力的框架，企业可以自评确定当前的安全水平及规划提升路径（网上早已流传自评表）。亦可找第三方公司进行评估，证明软件安全的能力以帮助业务提升竞争力。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL是否适合互联网公司？ 如何计算安全评审的覆盖率？ 研发安全管理用哪些工具？ 线上系统变更，不安全提测怎么办？ ATT＆CK与SDL能否混搭使用？ SDL 59/100问：关于第三方组件安全扫描系统的运营，可以定哪些指标？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急响应：redis挖矿（防御篇） 应急响应：redis挖矿（攻击篇） 应急响应：redis挖矿（完结篇） 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

见到过一些中小型互联网，自研SCA扫描工具，仅关注了部分高危的漏洞及对应组件检查，若是这样的话，则需要设置安全能力相关的指标，如已纳入治理的漏洞及组件数量； 其次是覆盖率，对产品线的检测覆盖情况，包括：工具支持扫描的语言类型、已经常态化扫描的产品线数量、已经自动化触发扫描的产品线数量； 最后是修复率，安全工程师推动产线修复漏洞或组件的修复率。 还有最基础的不能丢了，关于SCA 工具的基本运营相关要求，比如规则更新、系统更新、可用性问题，在安全团队中容易被忽视。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL是否适合互联网公司？ 如何计算安全评审的覆盖率？ 研发安全管理用哪些工具？ 线上系统变更，不安全提测怎么办？ SDL 58/100问：ATT＆CK与SDL能否混搭使用？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急响应：redis挖矿（防御篇） 应急响应：redis挖矿（攻击篇） 应急响应：redis挖矿（完结篇） 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

见到过一些中小型互联网，自研SCA扫描工具，仅关注了部分高危的漏洞及对应组件检查，若是这样的话，则需要设置安全能力相关的指标，如已纳入治理的漏洞及组件数量； 其次是覆盖率，对产品线的检测覆盖情况，包括：工具支持扫描的语言类型、已经常态化扫描的产品线数量、已经自动化触发扫描的产品线数量； 最后是修复率，安全工程师推动产线修复漏洞或组件的修复率。 还有最基础的不能丢了，关于SCA 工具的基本运营相关要求，比如规则更新、系统更新、可用性问题，在安全团队中容易被忽视。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL是否适合互联网公司？ 如何计算安全评审的覆盖率？ 研发安全管理用哪些工具？ 线上系统变更，不安全提测怎么办？ SDL 58/100问：ATT＆CK与SDL能否混搭使用？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急响应：redis挖矿（防御篇） 应急响应：redis挖矿（攻击篇） 应急响应：redis挖矿（完结篇） 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

将攻击框架应用到威胁建模中，还是在研发安全的哪个阶段引入框架式攻击？当我仔细分析安全产品等大型软件后，发现产品的安全防护就是一个小微型的企业安全防护，ATT＆CK能派上用场。 大型应用的gateway、iptables就如企业网络边界的firewall、waf，先要想尽一切办法在边界上阻挡恶意攻击；攻击者突破边界后要进行信息搜集，大型应用的配置文件、日志文件等若有明文账密，就能被利用于横向攻击内部其他服务，以至于提权到最高权限，进而做持久化或搞破坏。 所以，若将ATT＆CK的攻击思路吸收为防守，再融入于SDL中，如安全设计、安全测试等环节，将提升产品在攻防实战中的对抗能力。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL是否适合互联网公司？ 如何计算安全评审的覆盖率？ 研发安全管理用哪些工具？ SDL 57/100问：线上系统变更，不安全提测怎么办？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急响应：redis挖矿（防御篇） 应急响应：redis挖矿（攻击篇） 应急响应：redis挖矿（完结篇） 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

将攻击框架应用到威胁建模中，还是在研发安全的哪个阶段引入框架式攻击？当我仔细分析安全产品等大型软件后，发现产品的安全防护就是一个小微型的企业安全防护，ATT＆CK能派上用场。 大型应用的gateway、iptables就如企业网络边界的firewall、waf，先要想尽一切办法在边界上阻挡恶意攻击；攻击者突破边界后要进行信息搜集，大型应用的配置文件、日志文件等若有明文账密，就能被利用于横向攻击内部其他服务，以至于提权到最高权限，进而做持久化或搞破坏。 所以，若将ATT＆CK的攻击思路吸收为防守，再融入于SDL中，如安全设计、安全测试等环节，将提升产品在攻防实战中的对抗能力。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL是否适合互联网公司？ 如何计算安全评审的覆盖率？ 研发安全管理用哪些工具？ SDL 57/100问：线上系统变更，不安全提测怎么办？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急响应：redis挖矿（防御篇） 应急响应：redis挖矿（攻击篇） 应急响应：redis挖矿（完结篇） 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

这本质上属于安全管理的范畴，造成的原因可能比较复杂。不过，可以从两方面来看： 1、安全测试未嵌入研发流程，安全团队没有抓手？ 2、安全团队人手不够或研发体系问题，有意不检查已上线系统？ 无论是哪一点，均说明安全的资源不够，前者可能是领导的支持、安全团队的话语权，后者则是人员、工具、外包服务等资源。 建议首先还是向上争取资源；其次则要完善SDL流程堵住这个缺口，如：纳入安全提测管理降低安全事件发生风险、运营阶段的应急响应准备、安全事件的奖惩政策，至少做到在发生安全事故时有兜底的方案。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL是否适合互联网公司？ 有什么SDL相关的评价体系？ 如何引导业务方进行自助式安全扫描？ 在DevOps中用到哪些自动化的安全工具？ 如何看待安全提测看板这一需求? 如何计算安全评审的覆盖率？ SDL 56/100问：研发安全管理用哪些工具？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急响应：redis挖矿（防御篇） 应急响应：redis挖矿（攻击篇） 应急响应：redis挖矿（完结篇） 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

这本质上属于安全管理的范畴，造成的原因可能比较复杂。不过，可以从两方面来看： 1、安全测试未嵌入研发流程，安全团队没有抓手？ 2、安全团队人手不够或研发体系问题，有意不检查已上线系统？ 无论是哪一点，均说明安全的资源不够，前者可能是领导的支持、安全团队的话语权，后者则是人员、工具、外包服务等资源。 建议首先还是向上争取资源；其次则要完善SDL流程堵住这个缺口，如：纳入安全提测管理降低安全事件发生风险、运营阶段的应急响应准备、安全事件的奖惩政策，至少做到在发生安全事故时有兜底的方案。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL是否适合互联网公司？ 有什么SDL相关的评价体系？ 如何引导业务方进行自助式安全扫描？ 在DevOps中用到哪些自动化的安全工具？ 如何看待安全提测看板这一需求? 如何计算安全评审的覆盖率？ SDL 56/100问：研发安全管理用哪些工具？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急响应：redis挖矿（防御篇） 应急响应：redis挖矿（攻击篇） 应急响应：redis挖矿（完结篇） 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

研发安全管理涉及多个环节，需要综合使用多种安全检测工具来确保代码、数据、流程和基础设施的安全性。但此处不再介绍各类AST工具，当SDL做到一定成熟度后（如已有很多检测工具），则会出现统一管理的需求，包括各工具的扫描结果、漏洞管理、简化流程提升效率、上下文威胁评估及态势等。 由此就会诞生研发安全管理平台类似的产品，目前已知商业化的产品不多，以ASOC（应用安全编排与关联）、ASPM（应用安全姿态管理）较为出名，另外笔者内部也在做该领域已经2年了，也踩了一些坑、积累了一些经验。若有兴趣深入交流，可以回复或私聊。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL是否适合互联网公司？ 有什么SDL相关的评价体系？ 如何引导业务方进行自助式安全扫描？ 在DevOps中用到哪些自动化的安全工具？ 如何看待安全提测看板这一需求? SDL 55/100问：如何计算安全评审的覆盖率？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急响应：redis挖矿（防御篇） 应急响应：redis挖矿（攻击篇） 应急响应：redis挖矿（完结篇） 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

研发安全管理涉及多个环节，需要综合使用多种安全检测工具来确保代码、数据、流程和基础设施的安全性。但此处不再介绍各类AST工具，当SDL做到一定成熟度后（如已有很多检测工具），则会出现统一管理的需求，包括各工具的扫描结果、漏洞管理、简化流程提升效率、上下文威胁评估及态势等。 由此就会诞生研发安全管理平台类似的产品，目前已知商业化的产品不多，以ASOC（应用安全编排与关联）、ASPM（应用安全姿态管理）较为出名，另外笔者内部也在做该领域已经2年了，也踩了一些坑、积累了一些经验。若有兴趣深入交流，可以回复或私聊。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL是否适合互联网公司？ 有什么SDL相关的评价体系？ 如何引导业务方进行自助式安全扫描？ 在DevOps中用到哪些自动化的安全工具？ 如何看待安全提测看板这一需求? SDL 55/100问：如何计算安全评审的覆盖率？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急响应：redis挖矿（防御篇） 应急响应：redis挖矿（攻击篇） 应急响应：redis挖矿（完结篇） 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

在SDL建设的路上，各类检测覆盖率是最常见的指标。然而，这些指标出现的先后顺序，可能代表了SDL实施的成熟度。如安全评审是左移到需求或设计阶段的产物，这说明SDL估计做的还不错。 再来谈覆盖率，分母是所有项目，分子则是满足条件的项目，不过除了数量、也要关注质量： 1、公式的计算范围：应不断思考所有项目是否都纳入分母，分子的制定是否合理、是否需要进一步扩大范围； 2、减少评审主观性：尽可能将安全要求固化并持续优化，作为人人评审的依据，降低主观性和个体能力差异； 3、评审标准要全面：从合规、攻防到数据安全、隐私领域，结合实际业务场景制定有效、合理、清晰的标准。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL是否适合互联网公司？ 有什么SDL相关的评价体系？ 如何引导业务方进行自助式安全扫描？ 前端修复bug需要进行SAST扫描吗？ 在DevOps中用到哪些自动化的安全工具？ SDL 54/100问：如何看待安全提测看板这一需求? 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点