【SDL实践指南】产品安全质量衡量
文章前言
软件产品在完成研发后不仅要对业务功能进行功能测试来评判其是否符合需求方的实际需求,同时也需要对产品进行安全测试来检测产品整体的安全性,在SDL流程中产品要想达到发版标准不仅需要满足产品经理和项目经理既定的预期功能业务目标,也要达到安全质量标准
衡量对象
软件产品可以大致分为以下几类:
- 内部系统:企业研发的内部使用的系统,例如:内部通讯软件、内部数据库系统等
- 外部系统:企业研发的对外发布的系统,例如:企业对外官网、企业外网办公系统
- 采购产品:企业通过评估业界产品而后选择采购的由第三方开发的安全产品、协同办公产品以及其他软件系统
衡量标准
针对不同类型的软件产品也会有不同的软件安全质量衡量标准:
- 内部系统:企业研发的内部使用的系统只需要满足主机漏扫无高中危漏洞、Web漏扫无高中危漏洞即可
- 外部系统:企业研发的对外发布的系统需要满足Web漏扫、人工渗透、代码安全审计均无高中危漏洞、安全设计checklist达标
- 采购产品:第三方需要提供产品安全证明材料并在签订合同时须包含安全责任协议和应急止损售后服务,这里的安全证明材料一般是指第三方安全公司出具的报告,包括代码审计报告、主流扫描器漏扫、渗透测试报告、开源组件清单(依赖的开源组件类型和版本信息)
漏洞定级
企业可以根据自身业务的重要性以及行业标准和法律法规对漏洞进行安全定级,下面是一个简易实例:
等级 | 评定标准说明(符合以下条件之一) | ||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|
低 | 1) 未发现明显的安全问题 | ||||||||||
2) 未偏离相关国家行业标准规范要求 | |||||||||||
3) 安全漏洞的利用不会对系统造成明显的安全隐患(如通过安全漏洞的利用只会获取系统组件的某些信息) | |||||||||||
4) 与以上相当危害程度的其他安全漏洞 | |||||||||||
中 | 1) 偏离国家行业相关标准规范要求并且该项偏离会造成部分信息暴露等问题但不会直接引发严重问题(如读取后台数据库) | ||||||||||
2) 安全漏洞的利用会对系统造成一定的影响(如获得通信过程中的某些非敏感信息) | |||||||||||
3) 安全漏洞的利用虽会对系统造成严重影响但很不容易利用 | |||||||||||
4) 与以上相当危害程度的其他安全漏洞 | |||||||||||
高 | 1)偏离国家行业相关标准规范要并且该项偏离会直接引发严重问题(例如:获得程序源代码、可远程读写系统文件或操纵后台数据、可远程以普通用户身份执行命令或进行拒绝服务攻击、可远程以管理用户身份执行命令等) | ||||||||||
2) 安全漏洞的利用会对系统造成严重影响且容易利用(例如:获得程序源代码、可远程读写系统文件或操纵后台数据、可远程以普通用户身份执行命令或进行拒绝服务攻击、可远程以管理用户身份执行命令等) | |||||||||||
3)与以上相当危害程度的其他安全漏洞 | |||||||||||
文末小结
产品安全质量是决定了产品能否满足上线要求,以及产品能够按时上线,所以关于产品安全质量的衡量标准以及SDL产品上线规定越早进行贯宣越好,同时也需要让产品经理、项目经理、研发人员在软件开发周期内多多关注安全问题,避免后期因为安全问题无法上线或者导致产品功能重构等
腾讯云开发者
