我的安全视界观

这是一个合规问题，在软件开发的需求阶段，以安全需求的形式提出来，让业务方放到需求池中排期做。 在此之前我也没有关注这方面的意识，直到SRC收到白帽子提交的涉H图片漏洞，才意识到这方面应该纳入考虑，应用场景主要是：图片上传并展示到公众页面的功能，比如上传头像、论坛中允许发图片等。 在选择时，应该首选大厂，定期测试接口的可用性以及是否正常，避免过度信任带来内容安全风险。 -------------更多内容，请访问------------- 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 日常的漏洞运营，也应该是SDL团队来做吗？ 关于开发安全BP，对开展SDL有哪些帮助？ SDL 79/100问：如何塑造开发安全文化？ SDL 80/100问：怎样算是IAST扫描，都有哪些模式？ SDL 81/100问：如何快速应急开源组件漏洞，比如fastjson？ SDL 82/100问：说到供应链，有没有第三方信息安全相关的法规或者标准？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

目前能够感受到大家对供应链安全的重视，作为供应链上的一环，我司在要求供应商的同时也被客户要求。目前大家的关注点聚焦在： 1、证明产品的安全性：普遍要求提供代码审计报告、渗透测试报告、开源组件清单、对外开放端口矩阵等，既关注交付时的安全、又兼顾到运行过程中的安全性； 2、供货厂商的安全性：如果说交付产品的安全性是结果，那厂商整体的安全状态、产品研发中的安全则是过程和底层逻辑，这些也会被下游客户所要求。 总体来说，逐步进入了越来越安全的良性循环，这是一个好迹象。 -------------更多内容，请访问------------- 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 日常的漏洞运营，也应该是SDL团队来做吗？ 关于开发安全BP，对开展SDL有哪些帮助？ SDL 79/100问：如何塑造开发安全文化？ SDL 80/100问：怎样算是IAST扫描，都有哪些模式？ SDL 81/100问：如何快速应急开源组件漏洞，比如fastjson？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

个人觉得，要做好这件事儿，需要有两个基础和一个流程：一是漏洞情报，二是组件资产，以及应急响应流程。 1、漏洞情报：组件的漏洞情报，此外还可以关注组件投毒情报，这些情报都可以通过订阅安全公司CERT、微信群或朋友圈获得，也可以监控开源项目； 2、组件资产：不同于主机、容器等资产，组件资产可以从代码中通过SCA工具分析出来，最重要和难得是关联应用系统或下一级的微服务，之所以说难是因为和研发流程密切相关； 3、应急流程：不同于入侵检测流程，这是预防性质的应急，防止漏洞被利用而需要研发团队配合修复、需要清除本地中心仓及发布流程中的相关制品、线上系统更新等。 一些自动化的应用如SOAR、大模型flow也应用到应急中的一些环节，可以加速实现这一目标。 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 日常的漏洞运营，也应该是SDL团队来做吗？ 关于开发安全BP，对开展SDL有哪些帮助？ SDL 79/100问：如何塑造开发安全文化？ SDL 80/100问：怎样算是IAST扫描，都有哪些模式？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

这是一篇招聘信息，为自己招同事。应用安全方向，具体是：安全测试岗 和 SRC技术运营岗，有兴趣的进来看看~

在我接触到的IAST产品中，给用户提供的使用方式主要有两种： 一是测试人员在浏览器设置代理，将待测系统的访问流量导向扫描器，由扫描节点发起主动扫描； 二是在系统的中间件服务上插桩，在启动服务器前先启动监测服务，在访问过程中进行安全测试。前者被认为是假的的IAST，后者才是真的、并且还有主动和被动两种方式。 通常，两者在测试效果方面都会好于DAST，问题定位到代码层面，但漏洞的精准度并不像厂商说的那么高，甚至有的环境全是误报。不过这也是正常现象，面对复杂的业务环境及不同的实现方式，很难有一款安全工具是全能的。 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 日常的漏洞运营，也应该是SDL团队来做吗？ 关于开发安全BP，对开展SDL有哪些帮助？ SDL 79/100问：如何塑造开发安全文化？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

提到塑造文化，总是让人想到培训、考试、认证等，但除了这些呢？通过长期实践后，发现还可以结合具体的业务去做： 1、做集团级的研发安全风险晒榜：在公司内部或公司高管/各部门负责人范围内，按照部门进行安全风险晾晒，可以让业务线从上至下的重视起来； 2、通过重大安全保障活动扩大影响力：比如每年国家级的HW，业务方凡是出现了事故，你绝对会重视起来，次年估计都会主动找安全团队要帮忙。 总结一下，既要依靠常规的培训和考试、宣传等措施，又可以结合研发安全业务的一些指标、安全事件配合一起塑造研发安全的文化和氛围。 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 日常的漏洞运营，也应该是SDL团队来做吗？ SDL 78/100问：关于开发安全BP，对开展SDL有哪些帮助？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

开发安全BP可以把安全与业务串起来，可以帮助安全团队在业务团队中宣贯和落实安全要求、措施等，对安全团队来说是一种补位、填补人手不够的现状，对业务团队来说是一股安全能力、在熟悉业务的基础上做安全、提升产品安全性。 至于具体可以做哪些事情，这取决于SDL的成熟度。BP虽好，但要发挥其价值实属不易，至少需要从三方面入手： 1、安全团队在提出BP时，最好是拿到CTO甚至更高级别的尚方宝剑，提出人员能力要求和明确工作职责，由业务线老板亲自指定，让其工作正式化而非帮着干； 2、在岗位职责正式化基础上，安全团队要争取到（部分）绩效考核权，对BP有实质的管理权利更能落实SDL，定期组织能力培训或工作开展会议、会让BP更加认真； 3、面对BP的换岗离岗情况，需要建立培训、认证、上岗等常态化运营机制，保证BP掌握基础的安全知识和能力，让整个BP体系和机制正常运转。 此外，BP通常不具备安全能力、安全和风险认知也有限，需要重点培养，在与业务线老板确认BP人员时，可以优先考虑从事安全方向意愿以及个人的责任心。 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ SDL 77/100问：日常的漏洞运营，也应该是SDL团队来做吗？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

通常应用安全团队和安全运营团队是分开的，每个团队都会涉及到漏洞管理，所以常态下两个团队都会做漏洞运营，但是内容有所差异： 1、应用安全：负责业务系统上线前的安全测试，各种安全测试方法产生的漏洞、需要在上线前推动修复；系统上线后产生的漏洞如漏洞预警、SRC、众测等，也需要推动业务方修复，此外还需要进行运营复盘向左反馈，即根据上线后的漏洞去分析和完善安全测试体系； 2、安全运营：负责资产（主机、容器等）方面的漏洞，通常会做常态化漏洞扫描、漏洞预警等，需要把找到的漏洞推送给资产负责人并推动其修复，也需要根据SRC、红蓝对抗等发现的安全事件进行复盘分析，提升安全防护和运营体系。 两个团队会有交互之处，如漏洞预警、SRC运营等，需要相互配合与协作。至于这些事情是哪个团队负责，则取决于历史原因及各自团队的规模、能力等。在不同的公司，会有不同的团队做漏洞运营，比如上述两个团队都属于集团级的，在大型公司中还会有业务线的安全团队，他们也会涉及漏洞运营。所以，SDL团队也应该做常态化的漏洞运营。 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ SDL 76/100问：运营阶段，如何做好常态漏扫和情报产生的漏洞管理？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

在SDL的运营阶段，安全活动包括漏洞预警、常态化扫描、SRC收洞、应急响应等，这里提问是关于前两类产生的漏洞管理。在每个阶段，对漏洞的管理目标和方法实则是有差异的，在运营阶段则是要以减少安全事件发生、及减少因事件导致的代价为目标。所以当从目标出发时，可以结合漏洞危害大小、利用难易程度、资产的重要性等方面进行综合考虑，设置不同的漏洞修复和响应要求。比如： 1、漏洞预警：互联网上热传的、被称为核弹级利用的漏洞，肯定是要求先修复，仅有CVE编号又未传播开的，甚至都不用管； 2、常态化扫描：互联网侧的资产优先被修复，可以被利用的漏洞优先修复，其他类型的漏洞则可以将优先级降低、不过不能遗漏。 关于漏洞生命周期管理，每家公司的水平不一样，比如有用jira、禅道、excel表格、漏洞管理系统等。从实践经验来看，最好还是要能关联上资产、联动工单系统等，才会更加便利。 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL如何做成平台化以及价值？ 安全SDK提供安全API是怎么做的？ 安全测试，测不出逻辑漏洞怎么办？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 有没有SDL相关的监管要求？ SDL 75/100问：前期的安全设计与测试是否解决不同层面问题？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

人在认识世界、改造世界的实践活动中自会形成种种具有积累价值和交流价值的思想和认识，文章总结便是用来完善、固定

这个问题非常好，说明提出问题的人对SDL有一定理论研究，但缺少实践，也问出了一个痛点。从严谨的角度来说，在设计阶段提出的安全设计，需要验证是否业务团队是否都落实？通常在设计阶段会评审和检查设计方案，在编码阶段也会去进一步实现，不过得等到测试阶段来验证效果，由此可以看出安全测试的一个主要目的是：验证安全设计是否实施。 安全测试的内容又不止安全设计，完整的来讲还要包括：安全需求、部署环境时配置不当引入的安全问题等。但是在实际落地过程中，由于资源、人员等因素，会导致少有公司能够完全按照安全设计去写测试用例，然后一项项的进行测试。同时为了保证安全性，通常会引入各类AST工具及人工渗透等方式，在上线前尽可能多的发现问题。 所以，可以认为安全测试解决的问题范围理论上包含了安全设计，但实际可能会出现遗漏。 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL如何做成平台化以及价值？ 安全SDK提供安全API是怎么做的？ 安全测试，测不出逻辑漏洞怎么办？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 按千行代码漏洞数进行量化，如何制定指标？ 如何定位安全与业务的关系？ 如何定位安全培训？ SDL 74/100问：有没有SDL相关的监管要求？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

严格意义来讲，还没有监管对软件开发提出过单独的要求，但是有软件开发安全相关的标准，比如：《应用软件安全编程指南》提出应用软件安全编程的通用框架，《代码安全审计规范》规定代码安全的审计过程以及典型审计指标，《软件安全开发能力评估技术规范》包含软件安全开发能力成熟度模型（SSDCMM）等。 不过在未来，还真有可能出现类似的监管要求，因为网络安全发展肯定是逐步往左移、会更进一步精细化到软件研发生命周期中。 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL如何做成平台化以及价值？ 安全SDK提供安全API是怎么做的？ 安全测试，测不出逻辑漏洞怎么办？ 如何逐步建设XAST安全测试工具？ 如何设计安全开发平台的架构和功能？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 按千行代码漏洞数进行量化，如何制定指标？ 如何定位安全与业务的关系？ SDL 73/100问：如何定位安全培训？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

在安全开发流程（SDL）中，安全培训的定位既要 “知识传递” ，又要是 “能力建设”。通过覆盖全角色、全流程的体系化培训，将安全意识与技能转化为开发团队的内生能力，这是安全培训的终极目标。 安全培训几乎贯穿了整个SDL，包括安全规范、标准的宣传培训，亦可是安全设计、威胁分析的技能培训，还是安全工具的使用培训、漏洞修复培训等。不过，有三条经验可以借鉴： 1、根据培训群体，定制针对性的课件才会更加有效果； 2、借助公司组织，比如技术学院等联合扩大培训范围； 3、为了更好效果，可以设置考试甚至将内容融入检测。 为了推行SDL，安全培训必不可少，尤其是在一个技术氛围浓厚的团队中，很容易忽视或轻视此活动。 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL如何做成平台化以及价值？ 安全SDK提供安全API是怎么做的？ 安全测试，测不出逻辑漏洞怎么办？ 如何逐步建设XAST安全测试工具？ 如何设计安全开发平台的架构和功能？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 按千行代码漏洞数进行量化，如何制定指标？ SDL 72/100问：如何定位安全与业务的关系？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？

本文是第七篇，DevSecOps实施的第四个关键准备（4/4），系统化的介绍研发安全工具链。从安全工具的选型、建设优先级、自动化重定义到运营时遇到的典型问题，基本把该领域建设的路线图进行了完整描绘，对于研发安全工作的开展打下夯实基础。

无论走到哪儿，安全都是业务的属性，这肯定是不变的。我比较有幸主持过应用安全、安全防护、安全运营等多个网络安全工种的工作，也参与了安全高要求客户、供应商安全的交流，看到一些安全部门常常扮演的是监管角色，但是多层级的组织架构。 就研发安全而言，业务线需要有安全人员，做业务的安全治理，扮演帮手、与业务线同甘苦共患难；公司内还要有集团级的安全团队，做安全能力输出和监管，负责集团整体安全，包括检查业务线安全状况，这样才是合理又有效的人员配置。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL如何做成平台化以及价值？ 安全SDK提供安全API是怎么做的？ 安全测试，测不出逻辑漏洞怎么办？ 如何逐步建设XAST安全测试工具？ 如何设计安全开发平台的架构和功能？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ SDL 71/100问：按千行代码漏洞数进行量化，如何制定指标？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

在安全领域，似乎很少用千行代码漏洞数来制定指标，不过在一些SAST工具上却可以常见这个说法。我们谈代码安全质量，一般就直接说漏洞数。问题中的说法，可能是和团队的背景和知识有关，比如安全挂在研发团队下，对代码质量的评判就会通过千行代码缺陷数来评估。所以，我也不会去否定这种说法。 不过针对问题，我的答案是“量体裁衣，循序渐进”。每家公司、甚至同一公司的不同产线的代码安全质量，肯定都是不一样的，而且水平参差不齐。所以制定这个指标时，比较好的办法是：先跑起来摸清水位，再根据实际数量、制定跳一跳够得着的指标，迭代提升指标、才会越做越好。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL如何做成平台化以及价值？ 安全SDK提供安全API是怎么做的？ 安全测试，测不出逻辑漏洞怎么办？ 如何逐步建设XAST安全测试工具？ 如何设计安全开发平台的架构和功能？ 大家都有哪些SDL运营指标？ SDL 70/100问：业务系统是否可以带漏洞上线？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

这种情况在实际场景中，是存在的。所以在制定开发安全提测规范等制度时，应该考虑进去，并明确不同扫描器发现的不同等级漏洞验收标准，对于达不到要求的，需要开辟“绿色通道”： 1、审批流程要有高度：比如安全团队针对未修复的漏洞做出评估，由业务线一把手甚至CTO进行审批，同意后方可上线； 2、安全要为业务护航：除了跟进业务修复外，还应该在业务带病上线时制定对应的防护、监测措施，要第一时间发现漏洞被利用并处置。 此处尤其想说的是第二点，不少同行道听途说、觉得把责任分清楚就好，但若业务因此出了安全事件，高层领导会以为与安全团队无关？我想答案无需再述，大家心里已明白。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL如何做成平台化以及价值？ 安全SDK提供安全API是怎么做的？ 安全测试，测不出逻辑漏洞怎么办？ 如何逐步建设XAST安全测试工具？ 如何设计安全开发平台的架构和功能？ SDL 69/100问：大家都有哪些SDL运营指标？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

谈指标，首先要弄清楚考核的对象是谁？从问题来看，此处应该是对SDL安全运营人员。不过又可以分为广义和狭义，前者泛指从事SDL相关人员、尤其适合中小型团队，后者则仅指运营岗位上的人员、主要负责流程、体系、推动检测等工作。先说下广义的指标： 1、安全测试覆盖率：所有产品在上线前进行安全测试的情况，最理想状态是100%经过完整的安全测试，不过会出现各类古怪的bypass情况； 2、非自主发现漏洞比例：通过SRC、CVND等外部渠道接收到的产品相关安全漏洞数量占总体比例，越小说明SDL做的越好。 以上是比较通用的运营指标，按照不用风险等级亦可以继续细分，如高危漏洞修复率、中危漏洞修复率等，不过并非全部指标都应在很高水位，应该结合实际水平而定。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ SDL如何做成平台化以及价值？ 安全SDK提供安全API是怎么做的？ 安全测试，测不出逻辑漏洞怎么办？ 如何逐步建设XAST安全测试工具？ SDL 68/100问：如何设计安全开发平台的架构和功能？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

对安全开发平台的定位，肯定是服务于各产品线做安全提测、安全扫描使用，尽可能嵌入到项目管理、软件开发流程中，即：从流程和系统对接上，都需要打通。 从目前使用情况来看，最常用的功能是： 1、产线侧：安全提测工单及流程、各类安全检测工具调用及使用、漏洞工单修复等功能； 2、安全侧：安全提测工单及审核、漏洞提交流程、各产线安全态势及评估指标等功能； 3、管理视角：整体的研发安全指标及安全态势。 然而在这些功能的基础前，需要做大量的安全检测工具整合与调度、漏洞数据整合、分析及展示等基础工作。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 如何在隔离环境中修复大量的Java漏洞？ SDL如何做成平台化以及价值？ 安全SDK提供安全API是怎么做的？ 安全测试，测不出逻辑漏洞怎么办？ SDL 67/100问：如何逐步建设XAST安全测试工具？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验

一般而言，都是倒着建设的顺序，类似出了信息安全事件之后的救火，“从右往左”开始建设。就软件开发流程而言，则是从测试阶段到编码阶段： 1、DAST：测试阶段的中后期，部署好测试环境后进行主机、web漏洞扫描； 2、IAST：测试阶段的前中期，在部署测试环境的同时插入探针，随着功能测试开展安全测试； 3、SAST：编码阶段的安全活动，也可前置到开发提交代码时触发扫描，同期的安全活动还有SCA。 综上是常见XAST工作的阶段及推荐顺序，因为大概率是重头开始建设，安全人员、技术能力等各方面的能力、资源都还不够成熟，产品线也需要慢慢适应这个过程。各类工具独具特点，最大的技术拦路虎是误报，不过只要投入安全人员进行运营，也会走到可落地推行的状态。 更多内容，可以访问： 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 如何在隔离环境中修复大量的Java漏洞？ SDL如何做成平台化以及价值？ 安全SDK提供安全API是怎么做的？ SDL 66/100问：安全测试，测不出逻辑漏洞怎么办？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟 应急能力提升：内网横向移动攻击模拟 应急能力提升：实战应急响应经验