首页
学习
活动
专区
工具
TVP
发布

开发安全落地纵横谈(一)

根据CNVD的统计显示,大多数导致安全事件的漏洞都出自软件应用本身,而软件开发的早期采取避免漏洞的安全措施,将会极大降低软件漏洞的修复成本。

开发过程中,传统软件开发强调的是功能需求;重点关注的是功能的正确实现,并不强调漏洞的降低;传统开发生命周期是“需求-设计-编码-测试-投产”,缺乏对安全的关注,缺少对安全的控制环节与安全问题的解决;传统开发人员大多只具备开发编码能力,缺乏信息安全知识,缺乏安全意识,难以从“攻击者”的角度审视开发的软件。

自从2015年国舜股份落地第一个金融开发安全项目以来,至今经历了数十个金融行业的开发安全项目实施。总体来讲,实际中的开发安全落地并不是一帆风顺。

根据实施经验,SDL在实际落地中需求设计阶段、编码阶段、测试阶段这三个最为重要。

实际工作中,常规SDL实施根本无法落地。做安全需求分析,首先进行威胁建模分析,在威胁建模基础上再得到项目的安全需求,威胁建模可以借助外部工具。在实施落地过程中,我们服务的甲方现存的系统少则几十个,多则好几百个,并且每年面临着不少的新需求上线,更要面临大量的系统变更。因此,按照常规SDL实施无法落地,安全团队资源无法满足SDL实施。

专业需求工具是唯一的解决办法。需求阶段利用开发安全管控平台能够很好的解决企业中SDL安全专家数量不足和能力有限这个瓶颈问题。不到半天时间(熟练后不到半小时)就能完成安全需求分析,极大缓解了安全团队的压力。

安全需求分析完成后就要做安全设计和安全测试用例的编写。这个阶段需要SDL安全工程师和项目组成员一起协作,往往要磨合很长时间才能出个标准的安全设计。但是利用开发安全管控平台,在生成安全需求的时候,安全设计和安全测试用例也同时自动生成,后续的工作就是审查安全设计文档、安全测试用例文档而已。

为了适应市场,金融行业有些项目的研发也采用DevOps开发模式,但传统的安全管控经常会拖累整个流程,也暴露了一些常见DevOps痛点:问题后置、漏洞重复出现、安全人员加班加点应对随时来的问题等。我们在实施过程中,通过借助开发安全管控平台,能够实现快速响应,尽可能短的时间内给出安全需求等方案,以确保安全的部署和开发过程。

“工欲善其事必先利其器”,根据实施经验,需求设计阶段利用开发安全管控平台会事半功倍,节省人力与时间,并且利用平台后,项目安全需求分析与详细设计内容更加规范、全面。开发安全管控平台的核心思路和理念解决了因人员能力不同而安全成效不同的问题。以自动化分析,辅以安全组件库、威胁资源库、业务场景库、合规资源库,最终助力实现安全需求文档、安全设计、安全开发建议、安全测试要点等的自动导出。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20220321A07FFO00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券