我的安全视界观

SDL 69/100问:大家都有哪些SDL运营指标?(link is external)

我的安全视界观
2 days 11 hours ago
谈指标,首先要弄清楚考核的对象是谁?从问题来看,此处应该是对SDL安全运营人员。不过又可以分为广义和狭义,前者泛指从事SDL相关人员、尤其适合中小型团队,后者则仅指运营岗位上的人员、主要负责流程、体系、推动检测等工作。先说下广义的指标: 1、安全测试覆盖率:所有产品在上线前进行安全测试的情况,最理想状态是100%经过完整的安全测试,不过会出现各类古怪的bypass情况; 2、非自主发现漏洞比例:通过SRC、CVND等外部渠道接收到的产品相关安全漏洞数量占总体比例,越小说明SDL做的越好。 以上是比较通用的运营指标,按照不用风险等级亦可以继续细分,如高危漏洞修复率、中危漏洞修复率等,不过并非全部指标都应在很高水位,应该结合实际水平而定。 更多内容,可以访问: 1、SDL 100问 SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? SDL如何做成平台化以及价值? 安全SDK提供安全API是怎么做的? 安全测试,测不出逻辑漏洞怎么办? 如何逐步建设XAST安全测试工具? SDL 68/100问:如何设计安全开发平台的架构和功能? 2、SDL创新实践 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下研发安全痛点 一个思考:安全测试驱动产品安全? 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP:钓鱼邮件 安全事件运营SOP:网络攻击 安全事件运营SOP:蜜罐告警 安全事件运营SOP:webshell事件 安全事件运营SOP:接收漏洞事件 应急能力提升:实战应急困境与突破 应急能力提升:挖矿权限维持攻击模拟 应急能力提升:内网横向移动攻击模拟 应急能力提升:实战应急响应经验

SDL 68/100问:如何设计安全开发平台的架构和功能?(link is external)

我的安全视界观
4 days 11 hours ago
对安全开发平台的定位,肯定是服务于各产品线做安全提测、安全扫描使用,尽可能嵌入到项目管理、软件开发流程中,即:从流程和系统对接上,都需要打通。 从目前使用情况来看,最常用的功能是: 1、产线侧:安全提测工单及流程、各类安全检测工具调用及使用、漏洞工单修复等功能; 2、安全侧:安全提测工单及审核、漏洞提交流程、各产线安全态势及评估指标等功能; 3、管理视角:整体的研发安全指标及安全态势。 然而在这些功能的基础前,需要做大量的安全检测工具整合与调度、漏洞数据整合、分析及展示等基础工作。 更多内容,可以访问: 1、SDL 100问 SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 如何在隔离环境中修复大量的Java漏洞? SDL如何做成平台化以及价值? 安全SDK提供安全API是怎么做的? 安全测试,测不出逻辑漏洞怎么办? SDL 67/100问:如何逐步建设XAST安全测试工具? 2、SDL创新实践 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下研发安全痛点 一个思考:安全测试驱动产品安全? 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP:钓鱼邮件 安全事件运营SOP:网络攻击 安全事件运营SOP:蜜罐告警 安全事件运营SOP:webshell事件 安全事件运营SOP:接收漏洞事件 应急能力提升:实战应急困境与突破 应急能力提升:挖矿权限维持攻击模拟 应急能力提升:内网横向移动攻击模拟 应急能力提升:实战应急响应经验

SDL 67/100问:如何逐步建设XAST安全测试工具?(link is external)

我的安全视界观
1 week 1 day ago
一般而言,都是倒着建设的顺序,类似出了信息安全事件之后的救火,“从右往左”开始建设。就软件开发流程而言,则是从测试阶段到编码阶段: 1、DAST:测试阶段的中后期,部署好测试环境后进行主机、web漏洞扫描; 2、IAST:测试阶段的前中期,在部署测试环境的同时插入探针,随着功能测试开展安全测试; 3、SAST:编码阶段的安全活动,也可前置到开发提交代码时触发扫描,同期的安全活动还有SCA。 综上是常见XAST工作的阶段及推荐顺序,因为大概率是重头开始建设,安全人员、技术能力等各方面的能力、资源都还不够成熟,产品线也需要慢慢适应这个过程。各类工具独具特点,最大的技术拦路虎是误报,不过只要投入安全人员进行运营,也会走到可落地推行的状态。 更多内容,可以访问: 1、SDL 100问 SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 如何在隔离环境中修复大量的Java漏洞? SDL如何做成平台化以及价值? 安全SDK提供安全API是怎么做的? SDL 66/100问:安全测试,测不出逻辑漏洞怎么办? 2、SDL创新实践 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下研发安全痛点 一个思考:安全测试驱动产品安全? 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP:钓鱼邮件 安全事件运营SOP:网络攻击 安全事件运营SOP:蜜罐告警 安全事件运营SOP:webshell事件 安全事件运营SOP:接收漏洞事件 应急能力提升:实战应急困境与突破 应急能力提升:挖矿权限维持攻击模拟 应急能力提升:内网横向移动攻击模拟 应急能力提升:实战应急响应经验

SDL 66/100问:安全测试,测不出逻辑漏洞怎么办?(link is external)

我的安全视界观
1 week 3 days ago
安全测试肯定是可以发现逻辑漏洞,但也肯定会出现遗漏、以及效率不高,因为没有通用的检测工具,大多安全测试都是人工做的,主要依赖于个人思路、经验以及责任心。 最常见的逻辑漏洞就是未授权、越权等导致敏感信息泄露或导致攻击,因此这些漏洞也是企业重点治理的对象。 就小公司而言,可能投入人力做手工测试是不错的方法,最好是不同人员交叉测试;对于大公司来说,技术能力强可以基于业务做检测工具,进行自动化检测建设。两种情况都会出现遗漏,则可以通过运营SRC、做众测等方式,作为内部发现逻辑漏洞的补充,从而达到相对好的治理效果。 更多内容,可以访问: 1、SDL 100问 SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 如何在隔离环境中修复大量的Java漏洞? SDL如何做成平台化以及价值? 安全SDK提供安全API是怎么做的? SDL 65/100问:对移动客户端做安全测试,哪款工具比较好? 2、SDL创新实践 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点 一个思考:安全测试驱动产品安全? 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP:钓鱼邮件 安全事件运营SOP:网络攻击 安全事件运营SOP:蜜罐告警 安全事件运营SOP:webshell事件 安全事件运营SOP:接收漏洞事件 应急能力提升:实战应急困境与突破 应急能力提升:挖矿权限维持攻击模拟 应急能力提升:内网横向移动攻击模拟 应急能力提升:实战应急响应经验

SDL 65/100问:对移动客户端做安全测试,哪款工具比较好?(link is external)

我的安全视界观
1 week 5 days ago
针对移动客户端的安全测试,由于端的差异(Android/IOS/鸿蒙),使用到的工具也会不太一样。不过需要关注以下两方面: 1、安全漏洞:纯客户端的漏洞,比如权限相关不安全的设置、本地明文存储敏感信息;客户端到业务端的漏洞,比如协议存在缺陷、服务端对应端口服务的业务漏洞等; 2、隐私合规:国内监管检查的比较多,检测方法与工具比较成熟,是一个必须关注的问题面。 漏洞方面的检测工具,可以分为代码层面的静态检测、apk静态检测、手工做安全测试,模拟器、抓包工具等都比较常见;隐私合规方面,主要推荐商业的工具吧,开源的好像也有但没用过。 PS:鸿蒙应用的安全测试技术与需求正在增长,目前还没见到比较全的方法,对于移动客户端安全的同学来说,是一次超车的机会。 更多内容,可以访问: 1、SDL 100问 SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 如何在隔离环境中修复大量的Java漏洞? SDL如何做成平台化以及价值? SDL 64/100问:安全SDK提供安全API是怎么做的? 2、SDL创新实践 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点 一个思考:安全测试驱动产品安全? 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP:钓鱼邮件 安全事件运营SOP:网络攻击 安全事件运营SOP:蜜罐告警 安全事件运营SOP:webshell事件 安全事件运营SOP:接收漏洞事件 应急能力提升:实战应急困境与突破 应急能力提升:挖矿权限维持攻击模拟 应急能力提升:内网横向移动攻击模拟 应急能力提升:实战应急响应经验

SDL 64/100问:安全SDK提供安全API是怎么做的?(link is external)

我的安全视界观
2 weeks 1 day ago
说起安全SDK,算是研发安全团队想要冲击的一块高地,恰好我们团队在前两年也做了一些尝试,但结果不尽如人意。 事后我也分析了一下失败的原因,主要还是在“自然状态下,研发有自己的开发习惯,不信任、不想用其他(安全)人员提供的组件“。最初是作为CBB嵌入公司主流开发框架,同时从漏洞修复方面引导产品线使用,此外我们做了内部的技术分享、视频推广,当一切就绪后,却只有产线试用、没有在生产环境应用。 至此我又做了一些思考,如果要做起来、只能等待东风:公司做整体的技术架构管控或重构,然后趁机深度融入架构师或基础组件团队,要有研发团队托底,安全人员并不一定要写代码、输出设计思路和安全能力测试就行。 更多内容,可以访问: 1、SDL 100问 SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 软件安全领域有哪些成熟度模型? 如何在隔离环境中修复大量的Java漏洞? 如何处理扫描出的三方组件开源协议风险? SDL 63/100问:SDL如何做成平台化以及价值? 2、SDL创新实践 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点 一个思考:安全测试驱动产品安全? 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP:钓鱼邮件 安全事件运营SOP:网络攻击 安全事件运营SOP:蜜罐告警 安全事件运营SOP:webshell事件 安全事件运营SOP:接收漏洞事件 应急能力提升:实战应急困境与突破 应急能力提升:挖矿权限维持攻击模拟 应急能力提升:内网横向移动攻击模拟 应急能力提升:实战应急响应经验

SDL 63/100问:SDL如何做成平台化以及价值?(link is external)

我的安全视界观
2 weeks 3 days ago
这个话题比较有意思,因为我们这几年也做了自己的研发安全平台,其初衷主要有以下几点: 1、业务驱动:各种安全扫描工具比较多,产线使用起来很麻烦,做了平台之后安全扫描工具的扫描结果可以都发到平台上,统一处理和管理; 2、效能提升:研发安全团队的各类工具,比如安全测试报告生成工具都集成到平台,产品线就能生成报告;与其他系统打通,又可以提升效率; 3、成果展示:类似态势感知的大屏展示,可以把安全团队/个人/产品线的指标做实时的展示和分析,快速输出数据做汇报和对外展示。 这其实都是研发安全发展到一定阶段的必定产物,也许有人会说为什么不把这些数据放到devops平台、bug管理系统?其实也可,具体缘由不由分说。 更多内容,可以访问: 1、SDL 100问 SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 软件安全领域有哪些成熟度模型? 如何在隔离环境中修复大量的Java漏洞? SDL 62/100问:如何处理扫描出的三方组件开源协议风险? 2、SDL创新实践 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点 一个思考:安全测试驱动产品安全? 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP:钓鱼邮件 安全事件运营SOP:网络攻击 安全事件运营SOP:蜜罐告警 安全事件运营SOP:webshell事件 安全事件运营SOP:接收漏洞事件 应急能力提升:实战应急困境与突破 应急能力提升:挖矿权限维持攻击模拟 应急能力提升:内网横向移动攻击模拟 应急能力提升:实战应急响应经验

SDL 62/100问:如何处理扫描出的三方组件开源协议风险?(link is external)

我的安全视界观
2 weeks 5 days ago
在国内,这类事件带来的风险事件还比较少,感受比较明显的是公司收到过QT的律师函。不过,从风险治理的角度来说,这类风险搞不好要打官司、不容忽视。有见过比较强管理的方法:不允许使用强传染性的开源组件,但是对业务造成的影响很大,况且安全团队并没有那么高的话语权;其次是对强传染性的协议进行分析,比如LGPL的组件,要用就必须以动态链接的方式,否则就得开源产品代码。 综合来讲,这类风险需要提前纳入治理计划,需要从高层建设治理组织,最好是从源头做统一的、公司级的开源组件管理。 更多内容,可以访问: 1、SDL 100问 SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? SDL是否适合互联网公司? 如何计算安全评审的覆盖率? 研发安全管理用哪些工具? ATT&CK与SDL能否混搭使用? 软件安全领域有哪些成熟度模型? SDL 61/100问:如何在隔离环境中修复大量的Java漏洞? 2、SDL创新实践 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点 一个思考:安全测试驱动产品安全? 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP:钓鱼邮件 安全事件运营SOP:网络攻击 安全事件运营SOP:蜜罐告警 安全事件运营SOP:webshell事件 安全事件运营SOP:接收漏洞事件 应急响应:redis挖矿(防御篇) 应急响应:redis挖矿(攻击篇) 应急响应:redis挖矿(完结篇) 应急能力提升:实战应急困境与突破 应急能力提升:挖矿权限维持攻击模拟 应急能力提升:内网横向移动攻击模拟 应急能力提升:实战应急响应经验

SDL 61/100问:如何在隔离环境中修复大量的Java漏洞?(link is external)

我的安全视界观
1 month 1 week ago
由于环境有限制,可以尝试从四方面入手: 1、梳理漏洞修复范围:自研代码的漏洞,还是Java项目中使用到的开源组件的漏洞?前者在代码中直接修复即可,后者需要依赖第三方; 2、明确漏洞修复标准:根据要求明确必须修复的漏洞类型,比如按照风险等级、对外有传播poc的漏洞等区分,可根据实际情况分级修复; 3、漏洞修复常见方法:使用或搭建内部的Maven等仓库,将最新或安全的版本下载到本地仓库,Java项目通过内部第三方仓库进行修复; 4、内部搭建仓库的建议:这是长期的解决之道,亦是从源头管控的方法。不过入库前需进行安检,并常态化做预警及体检。 更多内容,可以访问: 1、SDL 100问 SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? SDL是否适合互联网公司? 如何计算安全评审的覆盖率? 研发安全管理用哪些工具? ATT&CK与SDL能否混搭使用? SDL 60/100问:软件安全领域有哪些成熟度模型? 2、SDL创新实践 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP:钓鱼邮件 安全事件运营SOP:网络攻击 安全事件运营SOP:蜜罐告警 安全事件运营SOP:webshell事件 安全事件运营SOP:接收漏洞事件 应急响应:redis挖矿(防御篇) 应急响应:redis挖矿(攻击篇) 应急响应:redis挖矿(完结篇) 应急能力提升:实战应急困境与突破 应急能力提升:挖矿权限维持攻击模拟 应急能力提升:内网横向移动攻击模拟 应急能力提升:实战应急响应经验

SDL 61/100问:如何在隔离环境中修复大量的Java漏洞?(link is external)

我的安全视界观
1 month 1 week ago
由于环境有限制,可以尝试从四方面入手: 1、梳理漏洞修复范围:自研代码的漏洞,还是Java项目中使用到的开源组件的漏洞?前者在代码中直接修复即可,后者需要依赖第三方; 2、明确漏洞修复标准:根据要求明确必须修复的漏洞类型,比如按照风险等级、对外有传播poc的漏洞等区分,可根据实际情况分级修复; 3、漏洞修复常见方法:使用或搭建内部的Maven等仓库,将最新或安全的版本下载到本地仓库,Java项目通过内部第三方仓库进行修复; 4、内部搭建仓库的建议:这是长期的解决之道,亦是从源头管控的方法。不过入库前需进行安检,并常态化做预警及体检。 更多内容,可以访问: 1、SDL 100问 SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? SDL是否适合互联网公司? 如何计算安全评审的覆盖率? 研发安全管理用哪些工具? ATT&CK与SDL能否混搭使用? SDL 60/100问:软件安全领域有哪些成熟度模型? 2、SDL创新实践 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP:钓鱼邮件 安全事件运营SOP:网络攻击 安全事件运营SOP:蜜罐告警 安全事件运营SOP:webshell事件 安全事件运营SOP:接收漏洞事件 应急响应:redis挖矿(防御篇) 应急响应:redis挖矿(攻击篇) 应急响应:redis挖矿(完结篇) 应急能力提升:实战应急困境与突破 应急能力提升:挖矿权限维持攻击模拟 应急能力提升:内网横向移动攻击模拟 应急能力提升:实战应急响应经验

SDL 60/100问:软件安全领域有哪些成熟度模型?(link is external)

我的安全视界观
1 month 2 weeks ago
目前比较知名的相关模型包括:构建安全成熟度模型(BSSIM)、软件保障成熟度模型(OWASP SAMM)、软件安全能力成熟度模型(中国信息安全测评中心 SSCMM)、CMMI+SAFE(卡内基梅隆大学开发,作为 CMMI-DEV 的扩展)、NIST CSF框架等。 在这些模型中,活跃度比较高的是BSSIM,一些在安全领域做得好的企业,常用于评估或改进软件安全能力的框架,企业可以自评确定当前的安全水平及规划提升路径(网上早已流传自评表)。亦可找第三方公司进行评估,证明软件安全的能力以帮助业务提升竞争力。 更多内容,可以访问: 1、SDL 100问 SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? SDL是否适合互联网公司? 如何计算安全评审的覆盖率? 研发安全管理用哪些工具? 线上系统变更,不安全提测怎么办? ATT&CK与SDL能否混搭使用? SDL 59/100问:关于第三方组件安全扫描系统的运营,可以定哪些指标? 2、SDL创新实践 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP:钓鱼邮件 安全事件运营SOP:网络攻击 安全事件运营SOP:蜜罐告警 安全事件运营SOP:webshell事件 安全事件运营SOP:接收漏洞事件 应急响应:redis挖矿(防御篇) 应急响应:redis挖矿(攻击篇) 应急响应:redis挖矿(完结篇) 应急能力提升:实战应急困境与突破 应急能力提升:挖矿权限维持攻击模拟 应急能力提升:内网横向移动攻击模拟 应急能力提升:实战应急响应经验

SDL 60/100问:软件安全领域有哪些成熟度模型?(link is external)

我的安全视界观
1 month 2 weeks ago
目前比较知名的相关模型包括:构建安全成熟度模型(BSSIM)、软件保障成熟度模型(OWASP SAMM)、软件安全能力成熟度模型(中国信息安全测评中心 SSCMM)、CMMI+SAFE(卡内基梅隆大学开发,作为 CMMI-DEV 的扩展)、NIST CSF框架等。 在这些模型中,活跃度比较高的是BSSIM,一些在安全领域做得好的企业,常用于评估或改进软件安全能力的框架,企业可以自评确定当前的安全水平及规划提升路径(网上早已流传自评表)。亦可找第三方公司进行评估,证明软件安全的能力以帮助业务提升竞争力。 更多内容,可以访问: 1、SDL 100问 SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? SDL是否适合互联网公司? 如何计算安全评审的覆盖率? 研发安全管理用哪些工具? 线上系统变更,不安全提测怎么办? ATT&CK与SDL能否混搭使用? SDL 59/100问:关于第三方组件安全扫描系统的运营,可以定哪些指标? 2、SDL创新实践 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP:钓鱼邮件 安全事件运营SOP:网络攻击 安全事件运营SOP:蜜罐告警 安全事件运营SOP:webshell事件 安全事件运营SOP:接收漏洞事件 应急响应:redis挖矿(防御篇) 应急响应:redis挖矿(攻击篇) 应急响应:redis挖矿(完结篇) 应急能力提升:实战应急困境与突破 应急能力提升:挖矿权限维持攻击模拟 应急能力提升:内网横向移动攻击模拟 应急能力提升:实战应急响应经验

SDL 59/100问:关于第三方组件安全扫描系统的运营,可以定哪些指标?(link is external)

我的安全视界观
1 month 2 weeks ago
见到过一些中小型互联网,自研SCA扫描工具,仅关注了部分高危的漏洞及对应组件检查,若是这样的话,则需要设置安全能力相关的指标,如已纳入治理的漏洞及组件数量; 其次是覆盖率,对产品线的检测覆盖情况,包括:工具支持扫描的语言类型、已经常态化扫描的产品线数量、已经自动化触发扫描的产品线数量; 最后是修复率,安全工程师推动产线修复漏洞或组件的修复率。 还有最基础的不能丢了,关于SCA 工具的基本运营相关要求,比如规则更新、系统更新、可用性问题,在安全团队中容易被忽视。 更多内容,可以访问: 1、SDL 100问 SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? SDL是否适合互联网公司? 如何计算安全评审的覆盖率? 研发安全管理用哪些工具? 线上系统变更,不安全提测怎么办? SDL 58/100问:ATT&CK与SDL能否混搭使用? 2、SDL创新实践 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP:钓鱼邮件 安全事件运营SOP:网络攻击 安全事件运营SOP:蜜罐告警 安全事件运营SOP:webshell事件 安全事件运营SOP:接收漏洞事件 应急响应:redis挖矿(防御篇) 应急响应:redis挖矿(攻击篇) 应急响应:redis挖矿(完结篇) 应急能力提升:实战应急困境与突破 应急能力提升:挖矿权限维持攻击模拟 应急能力提升:内网横向移动攻击模拟 应急能力提升:实战应急响应经验

SDL 59/100问:关于第三方组件安全扫描系统的运营,可以定哪些指标?(link is external)

我的安全视界观
1 month 2 weeks ago
见到过一些中小型互联网,自研SCA扫描工具,仅关注了部分高危的漏洞及对应组件检查,若是这样的话,则需要设置安全能力相关的指标,如已纳入治理的漏洞及组件数量; 其次是覆盖率,对产品线的检测覆盖情况,包括:工具支持扫描的语言类型、已经常态化扫描的产品线数量、已经自动化触发扫描的产品线数量; 最后是修复率,安全工程师推动产线修复漏洞或组件的修复率。 还有最基础的不能丢了,关于SCA 工具的基本运营相关要求,比如规则更新、系统更新、可用性问题,在安全团队中容易被忽视。 更多内容,可以访问: 1、SDL 100问 SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? SDL是否适合互联网公司? 如何计算安全评审的覆盖率? 研发安全管理用哪些工具? 线上系统变更,不安全提测怎么办? SDL 58/100问:ATT&CK与SDL能否混搭使用? 2、SDL创新实践 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP:钓鱼邮件 安全事件运营SOP:网络攻击 安全事件运营SOP:蜜罐告警 安全事件运营SOP:webshell事件 安全事件运营SOP:接收漏洞事件 应急响应:redis挖矿(防御篇) 应急响应:redis挖矿(攻击篇) 应急响应:redis挖矿(完结篇) 应急能力提升:实战应急困境与突破 应急能力提升:挖矿权限维持攻击模拟 应急能力提升:内网横向移动攻击模拟 应急能力提升:实战应急响应经验

SDL 58/100问:ATT&CK与SDL能否混搭使用?(link is external)

我的安全视界观
1 month 2 weeks ago
将攻击框架应用到威胁建模中,还是在研发安全的哪个阶段引入框架式攻击?当我仔细分析安全产品等大型软件后,发现产品的安全防护就是一个小微型的企业安全防护,ATT&CK能派上用场。 大型应用的gateway、iptables就如企业网络边界的firewall、waf,先要想尽一切办法在边界上阻挡恶意攻击;攻击者突破边界后要进行信息搜集,大型应用的配置文件、日志文件等若有明文账密,就能被利用于横向攻击内部其他服务,以至于提权到最高权限,进而做持久化或搞破坏。 所以,若将ATT&CK的攻击思路吸收为防守,再融入于SDL中,如安全设计、安全测试等环节,将提升产品在攻防实战中的对抗能力。 更多内容,可以访问: 1、SDL 100问 SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? SDL是否适合互联网公司? 如何计算安全评审的覆盖率? 研发安全管理用哪些工具? SDL 57/100问:线上系统变更,不安全提测怎么办? 2、SDL创新实践 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP:钓鱼邮件 安全事件运营SOP:网络攻击 安全事件运营SOP:蜜罐告警 安全事件运营SOP:webshell事件 安全事件运营SOP:接收漏洞事件 应急响应:redis挖矿(防御篇) 应急响应:redis挖矿(攻击篇) 应急响应:redis挖矿(完结篇) 应急能力提升:实战应急困境与突破 应急能力提升:挖矿权限维持攻击模拟 应急能力提升:内网横向移动攻击模拟 应急能力提升:实战应急响应经验

SDL 58/100问:ATT&CK与SDL能否混搭使用?(link is external)

我的安全视界观
1 month 2 weeks ago
将攻击框架应用到威胁建模中,还是在研发安全的哪个阶段引入框架式攻击?当我仔细分析安全产品等大型软件后,发现产品的安全防护就是一个小微型的企业安全防护,ATT&CK能派上用场。 大型应用的gateway、iptables就如企业网络边界的firewall、waf,先要想尽一切办法在边界上阻挡恶意攻击;攻击者突破边界后要进行信息搜集,大型应用的配置文件、日志文件等若有明文账密,就能被利用于横向攻击内部其他服务,以至于提权到最高权限,进而做持久化或搞破坏。 所以,若将ATT&CK的攻击思路吸收为防守,再融入于SDL中,如安全设计、安全测试等环节,将提升产品在攻防实战中的对抗能力。 更多内容,可以访问: 1、SDL 100问 SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? SDL是否适合互联网公司? 如何计算安全评审的覆盖率? 研发安全管理用哪些工具? SDL 57/100问:线上系统变更,不安全提测怎么办? 2、SDL创新实践 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP:钓鱼邮件 安全事件运营SOP:网络攻击 安全事件运营SOP:蜜罐告警 安全事件运营SOP:webshell事件 安全事件运营SOP:接收漏洞事件 应急响应:redis挖矿(防御篇) 应急响应:redis挖矿(攻击篇) 应急响应:redis挖矿(完结篇) 应急能力提升:实战应急困境与突破 应急能力提升:挖矿权限维持攻击模拟 应急能力提升:内网横向移动攻击模拟 应急能力提升:实战应急响应经验

SDL 57/100问:线上系统变更,不安全提测怎么办?(link is external)

我的安全视界观
1 month 3 weeks ago
这本质上属于安全管理的范畴,造成的原因可能比较复杂。不过,可以从两方面来看: 1、安全测试未嵌入研发流程,安全团队没有抓手? 2、安全团队人手不够或研发体系问题,有意不检查已上线系统? 无论是哪一点,均说明安全的资源不够,前者可能是领导的支持、安全团队的话语权,后者则是人员、工具、外包服务等资源。 建议首先还是向上争取资源;其次则要完善SDL流程堵住这个缺口,如:纳入安全提测管理降低安全事件发生风险、运营阶段的应急响应准备、安全事件的奖惩政策,至少做到在发生安全事故时有兜底的方案。 更多内容,可以访问: 1、SDL 100问 SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? SDL是否适合互联网公司? 有什么SDL相关的评价体系? 如何引导业务方进行自助式安全扫描? 在DevOps中用到哪些自动化的安全工具? 如何看待安全提测看板这一需求? 如何计算安全评审的覆盖率? SDL 56/100问:研发安全管理用哪些工具? 2、SDL创新实践 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP:钓鱼邮件 安全事件运营SOP:网络攻击 安全事件运营SOP:蜜罐告警 安全事件运营SOP:webshell事件 安全事件运营SOP:接收漏洞事件 应急响应:redis挖矿(防御篇) 应急响应:redis挖矿(攻击篇) 应急响应:redis挖矿(完结篇) 应急能力提升:实战应急困境与突破 应急能力提升:挖矿权限维持攻击模拟 应急能力提升:内网横向移动攻击模拟 应急能力提升:实战应急响应经验

SDL 57/100问:线上系统变更,不安全提测怎么办?(link is external)

我的安全视界观
1 month 3 weeks ago
这本质上属于安全管理的范畴,造成的原因可能比较复杂。不过,可以从两方面来看: 1、安全测试未嵌入研发流程,安全团队没有抓手? 2、安全团队人手不够或研发体系问题,有意不检查已上线系统? 无论是哪一点,均说明安全的资源不够,前者可能是领导的支持、安全团队的话语权,后者则是人员、工具、外包服务等资源。 建议首先还是向上争取资源;其次则要完善SDL流程堵住这个缺口,如:纳入安全提测管理降低安全事件发生风险、运营阶段的应急响应准备、安全事件的奖惩政策,至少做到在发生安全事故时有兜底的方案。 更多内容,可以访问: 1、SDL 100问 SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? SDL是否适合互联网公司? 有什么SDL相关的评价体系? 如何引导业务方进行自助式安全扫描? 在DevOps中用到哪些自动化的安全工具? 如何看待安全提测看板这一需求? 如何计算安全评审的覆盖率? SDL 56/100问:研发安全管理用哪些工具? 2、SDL创新实践 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP:钓鱼邮件 安全事件运营SOP:网络攻击 安全事件运营SOP:蜜罐告警 安全事件运营SOP:webshell事件 安全事件运营SOP:接收漏洞事件 应急响应:redis挖矿(防御篇) 应急响应:redis挖矿(攻击篇) 应急响应:redis挖矿(完结篇) 应急能力提升:实战应急困境与突破 应急能力提升:挖矿权限维持攻击模拟 应急能力提升:内网横向移动攻击模拟 应急能力提升:实战应急响应经验

SDL 56/100问:研发安全管理用哪些工具?(link is external)

我的安全视界观
1 month 3 weeks ago
研发安全管理涉及多个环节,需要综合使用多种安全检测工具来确保代码、数据、流程和基础设施的安全性。但此处不再介绍各类AST工具,当SDL做到一定成熟度后(如已有很多检测工具),则会出现统一管理的需求,包括各工具的扫描结果、漏洞管理、简化流程提升效率、上下文威胁评估及态势等。 由此就会诞生研发安全管理平台类似的产品,目前已知商业化的产品不多,以ASOC(应用安全编排与关联)、ASPM(应用安全姿态管理)较为出名,另外笔者内部也在做该领域已经2年了,也踩了一些坑、积累了一些经验。若有兴趣深入交流,可以回复或私聊。 更多内容,可以访问: 1、SDL 100问 SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? SDL是否适合互联网公司? 有什么SDL相关的评价体系? 如何引导业务方进行自助式安全扫描? 在DevOps中用到哪些自动化的安全工具? 如何看待安全提测看板这一需求? SDL 55/100问:如何计算安全评审的覆盖率? 2、SDL创新实践 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、软件供应链安全 软件供应商面临的攻防实战风险 软件供应商实战对抗十大安全举措 软件供应商攻防常规战之SDL 软件供应链投毒事件应急响应 浅谈企业级供应链投毒应急安全能力建设 5、安全运营实践 基于实践的安全事件简述 安全事件运营SOP:钓鱼邮件 安全事件运营SOP:网络攻击 安全事件运营SOP:蜜罐告警 安全事件运营SOP:webshell事件 安全事件运营SOP:接收漏洞事件 应急响应:redis挖矿(防御篇) 应急响应:redis挖矿(攻击篇) 应急响应:redis挖矿(完结篇) 应急能力提升:实战应急困境与突破 应急能力提升:挖矿权限维持攻击模拟 应急能力提升:内网横向移动攻击模拟 应急能力提升:实战应急响应经验
Checked
8 hours 24 minutes ago
我的安全视界观
大大的世界,小小的人儿;喜欢夜的黑,更爱昼的白。因为热爱安全,所以想起该做些什么了?!公众号主要将不定期分享个人所见所闻所感,包括但不限于:安全测试、漏洞赏析、渗透技巧、企业安全 (wechat feed made by @ttttmr https://wechat2rss.xlab.app)
URL
https://wechat2rss.xlab.app/feed/956e0bcbfd7dc0ca5274a3489bd2cc03cda26907.xml(link is external)
我的安全视界观 feed

Managed ad