我的安全视界观

在DevOps中，安全工具链包括威胁建模工具、静态安全检测（SAST、SCA）、动态安全检测（各类DAST）、交互式安全检测（IAST）、及运行时应用自我保护（很多说法将RASP算进来）、甚至waf等。 在自动化方面，除了威胁建模工具不能提供API外，其他安全工具都可以，即均可触发实现自动化扫描。此外，提供以下实践之后的建议： 1、最好是异步扫描：安全工具执行任务所需的时间长，直接串入会影响流水线的速度； 2、扫描结果有误报：设置安全门禁时需要有所甄别，需要人工介入或检测规则做精细； 3、依赖于研发工具：需要通过研发工具触发，比如gitlab的push触发静态扫描、构建时触发容器扫描和IAST插桩扫描。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL是否适合互联网公司？ 有什么SDL相关的评价体系？ 如何引导业务方进行自助式安全扫描？ SDL 52/100问：前端修复bug需要进行SAST扫描吗？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

从严谨的角度出发，凡是涉及到代码变动，在上线前都应该进行SAST（静态代码）扫描。因为前端也会有一些常见的可利用web漏洞，比如XSS、CSRF、敏感信息泄露等，不过不太好在SAST中全面检测。 但在实践SDL过程中，应该要观其成熟度而定，比如设计了代码变更触发自动扫描、且具备扫描前端漏洞的检测能力和性能，那就可以扫描；若是在建设初期，则应先关注后端代码的高危漏洞扫描。 PS：记得很久之前使用fortify扫描js，对性能消耗极大、影响了其他扫描任务，后来就直接忽略js文件了。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL是否适合互联网公司？ 有什么SDL相关的评价体系？ SDL 51/100问：如何引导业务方进行自助式安全扫描？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

从严谨的角度出发，凡是涉及到代码变动，在上线前都应该进行SAST（静态代码）扫描。因为前端也会有一些常见的可利用web漏洞，比如XSS、CSRF、敏感信息泄露等，不过不太好在SAST中全面检测。 但在实践SDL过程中，应该要观其成熟度而定，比如设计了代码变更触发自动扫描、且具备扫描前端漏洞的检测能力和性能，那就可以扫描；若是在建设初期，则应先关注后端代码的高危漏洞扫描。 PS：记得很久之前使用fortify扫描js，对性能消耗极大、影响了其他扫描任务，后来就直接忽略js文件了。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL是否适合互联网公司？ 有什么SDL相关的评价体系？ SDL 51/100问：如何引导业务方进行自助式安全扫描？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

从严谨的角度出发，凡是涉及到代码变动，在上线前都应该进行SAST（静态代码）扫描。因为前端也会有一些常见的可利用web漏洞，比如XSS、CSRF、敏感信息泄露等，不过不太好在SAST中全面检测。 但在实践SDL过程中，应该要观其成熟度而定，比如设计了代码变更触发自动扫描、且具备扫描前端漏洞的检测能力和性能，那就可以扫描；若是在建设初期，则应先关注后端代码的高危漏洞扫描。 PS：记得很久之前使用fortify扫描js，对性能消耗极大、影响了其他扫描任务，后来就直接忽略js文件了。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL是否适合互联网公司？ 有什么SDL相关的评价体系？ SDL 51/100问：如何引导业务方进行自助式安全扫描？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

从严谨的角度出发，凡是涉及到代码变动，在上线前都应该进行SAST（静态代码）扫描。因为前端也会有一些常见的可利用web漏洞，比如XSS、CSRF、敏感信息泄露等，不过不太好在SAST中全面检测。 但在实践SDL过程中，应该要观其成熟度而定，比如设计了代码变更触发自动扫描、且具备扫描前端漏洞的检测能力和性能，那就可以扫描；若是在建设初期，则应先关注后端代码的高危漏洞扫描。 PS：记得很久之前使用fortify扫描js，对性能消耗极大、影响了其他扫描任务，后来就直接忽略js文件了。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL是否适合互联网公司？ 有什么SDL相关的评价体系？ SDL 51/100问：如何引导业务方进行自助式安全扫描？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

从严谨的角度出发，凡是涉及到代码变动，在上线前都应该进行SAST（静态代码）扫描。因为前端也会有一些常见的可利用web漏洞，比如XSS、CSRF、敏感信息泄露等，不过不太好在SAST中全面检测。 但在实践SDL过程中，应该要观其成熟度而定，比如设计了代码变更触发自动扫描、且具备扫描前端漏洞的检测能力和性能，那就可以扫描；若是在建设初期，则应先关注后端代码的高危漏洞扫描。 PS：记得很久之前使用fortify扫描js，对性能消耗极大、影响了其他扫描任务，后来就直接忽略js文件了。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL是否适合互联网公司？ 有什么SDL相关的评价体系？ SDL 51/100问：如何引导业务方进行自助式安全扫描？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

从严谨的角度出发，凡是涉及到代码变动，在上线前都应该进行SAST（静态代码）扫描。因为前端也会有一些常见的可利用web漏洞，比如XSS、CSRF、敏感信息泄露等，不过不太好在SAST中全面检测。 但在实践SDL过程中，应该要观其成熟度而定，比如设计了代码变更触发自动扫描、且具备扫描前端漏洞的检测能力和性能，那就可以扫描；若是在建设初期，则应先关注后端代码的高危漏洞扫描。 PS：记得很久之前使用fortify扫描js，对性能消耗极大、影响了其他扫描任务，后来就直接忽略js文件了。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL是否适合互联网公司？ 有什么SDL相关的评价体系？ SDL 51/100问：如何引导业务方进行自助式安全扫描？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

为了说清楚问题，先介绍一下提出问题的背景：已经要求业务方进行安全测试，并且有较为完善的机制与流程保障其正常运转。但由于安全检测工具不全都“友好”的支持自动化接入研发流程，故而产生该问题。 回到问题本身，建议从给业务方带来的好处来谈，安全检测工具如DAST（系统/web/容器）等能力开放给业务方，会对其带来更大的便利。比如： 1、有来自客户的安全需求时，要进行扫描并提交报告，此时不需要安全团队帮助、自己就能做； 2、在提交安全测试前，业务方先完成自检或将工具接入自己研发流程SOP（手动触发扫描也算），然后再送检，能够提升发版速度。 随之而来的也会有一些麻烦，比如增大安全工具运营成本、扫描范围不可控等问题，不过都有解、且好处是大于坏处的，所以这事儿就值得持续干下去。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL是否适合互联网公司？ SDL 50/100问：有什么SDL相关的评价体系？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

为了说清楚问题，先介绍一下提出问题的背景：已经要求业务方进行安全测试，并且有较为完善的机制与流程保障其正常运转。但由于安全检测工具不全都“友好”的支持自动化接入研发流程，故而产生该问题。 回到问题本身，建议从给业务方带来的好处来谈，安全检测工具如DAST（系统/web/容器）等能力开放给业务方，会对其带来更大的便利。比如： 1、有来自客户的安全需求时，要进行扫描并提交报告，此时不需要安全团队帮助、自己就能做； 2、在提交安全测试前，业务方先完成自检或将工具接入自己研发流程SOP（手动触发扫描也算），然后再送检，能够提升发版速度。 随之而来的也会有一些麻烦，比如增大安全工具运营成本、扫描范围不可控等问题，不过都有解、且好处是大于坏处的，所以这事儿就值得持续干下去。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL是否适合互联网公司？ SDL 50/100问：有什么SDL相关的评价体系？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

为了说清楚问题，先介绍一下提出问题的背景：已经要求业务方进行安全测试，并且有较为完善的机制与流程保障其正常运转。但由于安全检测工具不全都“友好”的支持自动化接入研发流程，故而产生该问题。 回到问题本身，建议从给业务方带来的好处来谈，安全检测工具如DAST（系统/web/容器）等能力开放给业务方，会对其带来更大的便利。比如： 1、有来自客户的安全需求时，要进行扫描并提交报告，此时不需要安全团队帮助、自己就能做； 2、在提交安全测试前，业务方先完成自检或将工具接入自己研发流程SOP（手动触发扫描也算），然后再送检，能够提升发版速度。 随之而来的也会有一些麻烦，比如增大安全工具运营成本、扫描范围不可控等问题，不过都有解、且好处是大于坏处的，所以这事儿就值得持续干下去。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL是否适合互联网公司？ SDL 50/100问：有什么SDL相关的评价体系？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

为了说清楚问题，先介绍一下提出问题的背景：已经要求业务方进行安全测试，并且有较为完善的机制与流程保障其正常运转。但由于安全检测工具不全都“友好”的支持自动化接入研发流程，故而产生该问题。 回到问题本身，建议从给业务方带来的好处来谈，安全检测工具如DAST（系统/web/容器）等能力开放给业务方，会对其带来更大的便利。比如： 1、有来自客户的安全需求时，要进行扫描并提交报告，此时不需要安全团队帮助、自己就能做； 2、在提交安全测试前，业务方先完成自检或将工具接入自己研发流程SOP（手动触发扫描也算），然后再送检，能够提升发版速度。 随之而来的也会有一些麻烦，比如增大安全工具运营成本、扫描范围不可控等问题，不过都有解、且好处是大于坏处的，所以这事儿就值得持续干下去。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL是否适合互联网公司？ SDL 50/100问：有什么SDL相关的评价体系？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

为了说清楚问题，先介绍一下提出问题的背景：已经要求业务方进行安全测试，并且有较为完善的机制与流程保障其正常运转。但由于安全检测工具不全都“友好”的支持自动化接入研发流程，故而产生该问题。 回到问题本身，建议从给业务方带来的好处来谈，安全检测工具如DAST（系统/web/容器）等能力开放给业务方，会对其带来更大的便利。比如： 1、有来自客户的安全需求时，要进行扫描并提交报告，此时不需要安全团队帮助、自己就能做； 2、在提交安全测试前，业务方先完成自检或将工具接入自己研发流程SOP（手动触发扫描也算），然后再送检，能够提升发版速度。 随之而来的也会有一些麻烦，比如增大安全工具运营成本、扫描范围不可控等问题，不过都有解、且好处是大于坏处的，所以这事儿就值得持续干下去。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL是否适合互联网公司？ SDL 50/100问：有什么SDL相关的评价体系？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

从问题及接踵而至的回答来看，提问者是想知道SDL推行后，实施的水平怎样？业内应该没有直接评价SDL的模型或方法论，但与之相关的有软件安全或研发安全成熟度的评估方法，如： 1、国外模型：构建安全成熟度模型（BSIMM）、软件保障成熟度模型（SAMM）、CMMI+SAFE模型、软件安全能力成熟度模型（SSCMM）； 2、国内标准：软件安全开发能力评估技术规范、软件供应链安全要求、研发运营一体化(DevOps)能力成熟度模型、可信研发运营安全成熟度评估(TSM)、软件供应链安全能力成熟度评估等。 这些模型或标准各有侧重，但共同之处都提供了一套框架或评估方法、细则，能够帮助在落地SDL时进行效果评估、识别不足并提出改进项。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL 49/100问：SDL是否适合互联网公司？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

从问题及接踵而至的回答来看，提问者是想知道SDL推行后，实施的水平怎样？业内应该没有直接评价SDL的模型或方法论，但与之相关的有软件安全或研发安全成熟度的评估方法，如： 1、国外模型：构建安全成熟度模型（BSIMM）、软件保障成熟度模型（SAMM）、CMMI+SAFE模型、软件安全能力成熟度模型（SSCMM）； 2、国内标准：软件安全开发能力评估技术规范、软件供应链安全要求、研发运营一体化(DevOps)能力成熟度模型、可信研发运营安全成熟度评估(TSM)、软件供应链安全能力成熟度评估等。 这些模型或标准各有侧重，但共同之处都提供了一套框架或评估方法、细则，能够帮助在落地SDL时进行效果评估、识别不足并提出改进项。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL 49/100问：SDL是否适合互联网公司？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

从问题及接踵而至的回答来看，提问者是想知道SDL推行后，实施的水平怎样？业内应该没有直接评价SDL的模型或方法论，但与之相关的有软件安全或研发安全成熟度的评估方法，如： 1、国外模型：构建安全成熟度模型（BSIMM）、软件保障成熟度模型（SAMM）、CMMI+SAFE模型、软件安全能力成熟度模型（SSCMM）； 2、国内标准：软件安全开发能力评估技术规范、软件供应链安全要求、研发运营一体化(DevOps)能力成熟度模型、可信研发运营安全成熟度评估(TSM)、软件供应链安全能力成熟度评估等。 这些模型或标准各有侧重，但共同之处都提供了一套框架或评估方法、细则，能够帮助在落地SDL时进行效果评估、识别不足并提出改进项。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL 49/100问：SDL是否适合互联网公司？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

从问题及接踵而至的回答来看，提问者是想知道SDL推行后，实施的水平怎样？业内应该没有直接评价SDL的模型或方法论，但与之相关的有软件安全或研发安全成熟度的评估方法，如： 1、国外模型：构建安全成熟度模型（BSIMM）、软件保障成熟度模型（SAMM）、CMMI+SAFE模型、软件安全能力成熟度模型（SSCMM）； 2、国内标准：软件安全开发能力评估技术规范、软件供应链安全要求、研发运营一体化(DevOps)能力成熟度模型、可信研发运营安全成熟度评估(TSM)、软件供应链安全能力成熟度评估等。 这些模型或标准各有侧重，但共同之处都提供了一套框架或评估方法、细则，能够帮助在落地SDL时进行效果评估、识别不足并提出改进项。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL 49/100问：SDL是否适合互联网公司？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

之所以就互联网公司提出SDL适合性疑问，估计是认为：互联网注重效率快速交付、产品线多样带来的不同开发流程和需求等特点，与微软SDL繁重的安全活动、流程相矛盾。 其实，软件安全领域的安全技术也在伴随发展，比如适合DevOps流程的DevSecOps，强调自动化和协作来做安全，以保障软件的发布速度。 SDL不仅是只适用于瀑布开发模式，在自动化的加持下也适用于敏捷模式、甚至DevOps模式。正是因为公司内部大概率不止一种开发模式，故统称为SDL也不为过。至于怎么去做自动化，可以从代码白盒扫描、流量黑盒扫描、先减少检测规则再逐步增加等方面入手，在业务发展中稳步推进安全能力。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ SDL 48/100问：关于安全测试标准化的讨论？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

之所以就互联网公司提出SDL适合性疑问，估计是认为：互联网注重效率快速交付、产品线多样带来的不同开发流程和需求等特点，与微软SDL繁重的安全活动、流程相矛盾。 其实，软件安全领域的安全技术也在伴随发展，比如适合DevOps流程的DevSecOps，强调自动化和协作来做安全，以保障软件的发布速度。 SDL不仅是只适用于瀑布开发模式，在自动化的加持下也适用于敏捷模式、甚至DevOps模式。正是因为公司内部大概率不止一种开发模式，故统称为SDL也不为过。至于怎么去做自动化，可以从代码白盒扫描、流量黑盒扫描、先减少检测规则再逐步增加等方面入手，在业务发展中稳步推进安全能力。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ SDL 48/100问：关于安全测试标准化的讨论？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

之所以就互联网公司提出SDL适合性疑问，估计是认为：互联网注重效率快速交付、产品线多样带来的不同开发流程和需求等特点，与微软SDL繁重的安全活动、流程相矛盾。 其实，软件安全领域的安全技术也在伴随发展，比如适合DevOps流程的DevSecOps，强调自动化和协作来做安全，以保障软件的发布速度。 SDL不仅是只适用于瀑布开发模式，在自动化的加持下也适用于敏捷模式、甚至DevOps模式。正是因为公司内部大概率不止一种开发模式，故统称为SDL也不为过。至于怎么去做自动化，可以从代码白盒扫描、流量黑盒扫描、先减少检测规则再逐步增加等方面入手，在业务发展中稳步推进安全能力。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ SDL 48/100问：关于安全测试标准化的讨论？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

之所以就互联网公司提出SDL适合性疑问，估计是认为：互联网注重效率快速交付、产品线多样带来的不同开发流程和需求等特点，与微软SDL繁重的安全活动、流程相矛盾。 其实，软件安全领域的安全技术也在伴随发展，比如适合DevOps流程的DevSecOps，强调自动化和协作来做安全，以保障软件的发布速度。 SDL不仅是只适用于瀑布开发模式，在自动化的加持下也适用于敏捷模式、甚至DevOps模式。正是因为公司内部大概率不止一种开发模式，故统称为SDL也不为过。至于怎么去做自动化，可以从代码白盒扫描、流量黑盒扫描、先减少检测规则再逐步增加等方面入手，在业务发展中稳步推进安全能力。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ SDL 48/100问：关于安全测试标准化的讨论？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点