我的安全视界观

对产品的安全性度量，可以从以下两方面找一些指标： 一是开发态下执行安全要求的情况，包括业务线上线前是否经过安全测试（安全评审/静态代码扫描/黑盒安全扫描/人工安全测试等），是否满足安全要求后才发布上线（已发现漏洞修复情况），考察业务部们落实安全要求的情况，常见指标有漏洞数、漏洞修复率、XAST扫描覆盖率等； 二是运行态下产品安全情况及趋势，包括开发过程中执行安全要求的质量、发现安全事件应急响应、各类安全防护开启与否等情况，常见指标有安全事件数、应急响应时间、违规数等。 就单个项目而言，如果用于开发安全管理及汇报，前者提到的指标更适宜用于度量，因为项目交付后可能就是客户或其他团队在负责，需结合实际情况来定。 ------------更多内容，请访问------------- 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 哪个厂商做SDL咨询服务和建设比较强？ 如何推动业务方修复开源组件漏洞？ 开发安全左移和右移，哪一个更好？ 什么是ASTRIDE？ 与外部厂商合作时需要外发敏感数据，有啥好方案？ 针对开发安全管理的面试，一般都会问哪些问题？ SDL 95/100问：针对有漏洞的代码，安全怎么不让发版？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

先简要的回答这个问题，安全团队必须具备话语权与技术性卡点能力，二者缺一不可。 1、话语权：需从决策层（如 CEO、CTO）推动安全纳入业务优先级，再向下穿透至研发、运维、业务等全链条； 2、技术卡点：在 CI/CD pipeline 中构建不可绕过的安全关卡，通过 SAST/SCA 等工具自动化检测，并与发布系统强联动 - 未通过安全基线（如高危漏洞清零、合规证明完备）的版本，无论业务紧急程度如何都不允许上线。或与产品管理IPD流程的TR评审强关联，安全需要评审才能通过。 关于技术卡点，要准备例外审批机制，但需设置极高的门槛（如 CTO 级签字 + 漏洞修复时间表），以备特殊场景之需。 ------------更多内容，请访问------------- 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 哪个厂商做SDL咨询服务和建设比较强？ 源代码扫描，是做仓库的全量扫描还是增量扫？ 如何推动业务方修复开源组件漏洞？ 开发安全左移和右移，哪一个更好？ 什么是ASTRIDE？ 与外部厂商合作时需要外发敏感数据，有啥好方案？ SDL 94/100问：针对开发安全管理的面试，一般都会问哪些问题？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

这个岗位对标的可能是应用安全负责人、应用安全工程师－开发安全体系建设方向，被问到的问题大概会围绕以下两点展开： 1、开发安全面临哪些安全风险，如何治理或开展工作？ 2、开发安全体系、工具、流程如何建设及运营，有哪些指标？ 在此基础上，负责人岗位还会被考察以往带队情况、向上沟通等偏向于人员、工作内容管理类的问题。 ------------更多内容，请访问------------- 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 哪个厂商做SDL咨询服务和建设比较强？ 源代码扫描，是做仓库的全量扫描还是增量扫？ 如何推动业务方修复开源组件漏洞？ 开发安全左移和右移，哪一个更好？ 什么是ASTRIDE？ SDL 92/100问：在测试代码审计类产品能力时，有没有好一点的开源项目推荐？ SDL 93/100问：与外部厂商合作时需要外发敏感数据，有啥好方案？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

对外进行数据对接，是比较常见且风险比较高的业务场景，需要结合具体的业务场景来设计安全方案或做安全评审，不过通用的思考框架也是有的： 1、必要性：是否必须提供原始的敏感信息到第三方，对方通过API的方式过来查询或计算，取结果回去是否可行； 2、最小化：敏感的业务数据最小化传出去或加入计算，有时候开发会为了方便就用现有的数据接口； 3、设验证：针对API对接的场景，尽可能做各种维度的验证，比如对方出口IP、调用权限等； 4、可审计：无论是API对接还是数据拷贝的场景，都需要做数据出司的审计，可以是邀请第三方相关部门审计、业务打印日志做模型审计。 以上四点可以根据实际业务场景扩展、细化，亦可结合实际需求加入新的维度，完善安全评估方案。 ------------更多内容，请访问------------- 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 哪个厂商做SDL咨询服务和建设比较强？ 源代码扫描，是做仓库的全量扫描还是增量扫？ 如何推动业务方修复开源组件漏洞？ 开发安全左移和右移，哪一个更好？ 什么是ASTRIDE？ SDL 92/100问：在测试代码审计类产品能力时，有没有好一点的开源项目推荐？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

从所提的问题来看，提问者肯定是比较懂安全测试工具的能力测试，比如乙方公司会用市面上开源或知名的漏洞靶场来做测试。相比较真实的项目，这些靶场明显代码量更少、漏洞更容易被发现，所以检测能力都很强。 但到真实业务代码的环境后，表现肯定会打折扣。所以可以反过来思考这个问题，先参考厂商的检出率、客户案例等，然后同时安排多个进行POC测试，无论是检出率、易用性都能得到真实的体验。 此外，一定要明确SAST工具的作用范围，绝不是所有漏洞都应该被检出，其次还要进行人工运营。所以，在测试时应该加入误报率之类的反向指标。 ------------更多内容，请访问------------- 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 日常的漏洞运营，也应该是SDL团队来做吗？ 关于开发安全BP，对开展SDL有哪些帮助？ SDL 87/100问：哪个厂商做SDL咨询服务和建设比较强？ SDL 88/100问：源代码扫描，是做仓库的全量扫描还是增量扫？ SDL 89/100问：如何推动业务方修复开源组件漏洞？ SDL 90/100问：开发安全左移和右移，哪一个更好？ SDL 91/100问：什么是ASTRIDE？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

关于ASTRIDE的出处，目前接触到最多的声音就是华为，具体就是指隐私合规方面。因为参加过多次华为TQC组织的培训和技术沙龙，对于此深有所了解。在面向全世界的一家公司里，隐私合规无疑是重中之重，所以并不难理解为什么华为这么做。 但对于其他厂的启发呢？始终应该围绕自己的业务场景、公司面临的内外环境来做调整，大方向就是可以左移到需求阶段。在产品刚开始做的时候就加入各类法规、安全要求，进而做合理的plan排期，在过程中如测试阶段进行验证，从而形成需求-测试验证的闭环，主动把控网络安全风险。 ------------更多内容，请访问------------- 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 日常的漏洞运营，也应该是SDL团队来做吗？ 关于开发安全BP，对开展SDL有哪些帮助？ SDL 87/100问：哪个厂商做SDL咨询服务和建设比较强？ SDL 88/100问：源代码扫描，是做仓库的全量扫描还是增量扫？ SDL 89/100问：如何推动业务方修复开源组件漏洞？ SDL 90/100问：开发安全左移和右移，哪一个更好？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

左与右其实是相对的，都是指在软件开发生命周期上开展的安全活动，一般来说会把上线作为左右的分界点。 左移固然好，因为在需求、设计阶段或编码时发现漏洞的修复成本，会远低于产品发布到线上带来的修复代价。随着云原生的普及，右移逐渐超过了上线出安全事故时做应急响应、上线后做渗透测试，还包括了线上运行时做安全防护、入侵检测等。 从业务系统的全生命周期来看，安全需要左移、也需要纵深防御，所以应该是无处不移，开发安全需要开发态下的安全保障，也需要运行态时的安全防护，具体的实践应该以现有安全状态为基础、结合实际情况而定。 ------------更多内容，请访问------------- 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 日常的漏洞运营，也应该是SDL团队来做吗？ 关于开发安全BP，对开展SDL有哪些帮助？ SDL 87/100问：哪个厂商做SDL咨询服务和建设比较强？ SDL 88/100问：源代码扫描，是做仓库的全量扫描还是增量扫？ SDL 89/100问：如何推动业务方修复开源组件漏洞？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

在这个问题上，想必很多同业人员都会遇到。其中最理想的就是把修复开源组件漏洞定位为公司级要求，避免陷入与业务方证明漏洞危害性的对抗局面。 然而要推动成为公司标准，也绝非易事，此处我将介绍自己亲身推动的、较为理想的过程 - - 客户驱动或业务驱动。在我们服务的客户里面，有漏洞修复标准非常高的客户，曾要求CVSS≥4.0都需要修复或给出不修的理由。从侧面来看，客户的要求帮我们在内部推动产线修漏洞。 另外还可以借助公司的大事件来推动漏洞修复，又一例子是我们进行冬奥网络安全保障时，要求所有部署到现场的产品都要足够安全。于是我们趁机将SCA的扫描结果修复，安排成为其中一个专项，在大事件面前产线配合的非常好，此后我们就把这个专项纳入到日常安全测试流程中、并写成规范常态化运行。 ------------更多内容，请访问------------- 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 日常的漏洞运营，也应该是SDL团队来做吗？ 关于开发安全BP，对开展SDL有哪些帮助？ SDL 87/100问：哪个厂商做SDL咨询服务和建设比较强？ SDL 88/100问：源代码扫描，是做仓库的全量扫描还是增量扫？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

说起源代码扫描，主要安全活动是SCA和SAST，前者是扫描开源组件已知的漏洞、后门及开源许可证，后者主要是对自研代码漏洞做扫描。 关于增量or全量？这对SAST的结果影响比较大，因为当前主流SAST工具的检测核心逻辑：仍然依赖数据流污点追踪技术，而代码完整性的缺失，会直接导致漏洞检出率下降。 不过在SAST检出的漏洞类型中，也有不影响检出率的情况，比如硬编码密码等敏感信息泄露的检测。从效果来看，还是建议做扫描全量，与此同时则要解决扫描速度和性能的问题。 ------------更多内容，请访问------------- 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 日常的漏洞运营，也应该是SDL团队来做吗？ 关于开发安全BP，对开展SDL有哪些帮助？ 上传图片的API，除了常见web漏洞外，是否还会有风险？ SDL 84/100问：国内是否有做安全基线的厂商或这个方向的专家？ SDL 85/100问：在推进SDL时，一般选择什么类型的员工作为对接人？ SDL 86/100问：水平越权属于STRIDE中的哪一种？ SDL 87/100问：哪个厂商做SDL咨询服务和建设比较强？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

SDL的方法论都是一样的，从接触到的安全厂商方案来看都大同小异，在工具建设方面优先推荐自己或合作伙伴的而已。 由此引申出一个话题：如何才算是做好SDL？ 唯有在弄清楚研发流程的基础上，把各种安全检测塞到流程中，才算是正在的做起来。又回归到三个重要的因素 - 组织、流程和工具，乙方（产品+服务模式）也有可能帮助甲方做好，前提是有真正懂的安全专家、甲方也得有专家大力配合和推进。 ------------更多内容，请访问------------- 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 日常的漏洞运营，也应该是SDL团队来做吗？ 关于开发安全BP，对开展SDL有哪些帮助？ 上传图片的API，除了常见web漏洞外，是否还会有风险？ SDL 84/100问：国内是否有做安全基线的厂商或这个方向的专家？ SDL 85/100问：在推进SDL时，一般选择什么类型的员工作为对接人？ SDL 86/100问：水平越权属于STRIDE中的哪一种？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

从用户角色来说，水平越权虽然不涉及到权限级别的提升，但其核心是未授权访问了他人的私有资源、访问超过用户角色定义的资源。从STRIDE模型定义来看，E（权限提升）- 同级用户之间的越界访问和低权限用户获得高权限。 所以，水平越权本质上就属于未授权的越界访问，自然就是E。 ------------更多内容，请访问------------- 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 日常的漏洞运营，也应该是SDL团队来做吗？ 关于开发安全BP，对开展SDL有哪些帮助？ 上传图片的API，除了常见web漏洞外，是否还会有风险？ SDL 84/100问：国内是否有做安全基线的厂商或这个方向的专家？ SDL 85/100问：在推进SDL时，一般选择什么类型的员工作为对接人？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

从我过往的实践来看，大多数都是测试人员在担任SDL安全对接人，少数是研发骨干、产品经理和安全研究员。他们负责：提安全需求、安全测试、组织开发修复漏洞、组织复盘分析等工作。 回顾最开始设置“产品安全专员”机制时，人选的确定交由业务部门负责人来定，同时建议承担这个角色的人须有一定话语权、熟悉产品及研发过程、最好是对安全感兴趣。其次是在确定人选之后，尽量从组织上来说要正式化、正规化运营，比如召开相关安全培训、持证上岗、发内部IM徽章、轮替也要学习和考试，定期组织开会等。 ------------更多内容，请访问------------- 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 日常的漏洞运营，也应该是SDL团队来做吗？ 关于开发安全BP，对开展SDL有哪些帮助？ 上传图片的API，除了常见web漏洞外，是否还会有风险？ SDL 84/100问：国内是否有做安全基线的厂商或这个方向的专家？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

做漏洞扫描器的厂商，一般都具备安全基线检查的能力，见过很多DAST扫描工具都能做对应的检测。无非就是模版不同，具体根据不同的行业监管或等保要求而定。 在SDL中，想必绝大多数都会做DAST（主机漏洞扫描、web漏洞扫描、容器镜像漏洞扫描等），但是不一定会做安全基线配置核查。这主要是针对操作系统、数据库、中间件等PAAS层的服务，检查其历史漏洞、安全配置等情况，对于整个产品的安全性来说亦是根基。 此外在实战攻防中，已经遇到很多场景：比如通过打这些服务拿下产品。反之，做好安全基线则可以阻断攻击链，或有效提升攻击成功的难度。 -------------更多内容，请访问------------- 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 日常的漏洞运营，也应该是SDL团队来做吗？ 关于开发安全BP，对开展SDL有哪些帮助？ SDL 83/100问：上传图片的API，除了常见web漏洞外，是否还会有风险？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

这是一个合规问题，在软件开发的需求阶段，以安全需求的形式提出来，让业务方放到需求池中排期做。 在此之前我也没有关注这方面的意识，直到SRC收到白帽子提交的涉H图片漏洞，才意识到这方面应该纳入考虑，应用场景主要是：图片上传并展示到公众页面的功能，比如上传头像、论坛中允许发图片等。 在选择时，应该首选大厂，定期测试接口的可用性以及是否正常，避免过度信任带来内容安全风险。 -------------更多内容，请访问------------- 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 日常的漏洞运营，也应该是SDL团队来做吗？ 关于开发安全BP，对开展SDL有哪些帮助？ SDL 79/100问：如何塑造开发安全文化？ SDL 80/100问：怎样算是IAST扫描，都有哪些模式？ SDL 81/100问：如何快速应急开源组件漏洞，比如fastjson？ SDL 82/100问：说到供应链，有没有第三方信息安全相关的法规或者标准？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

目前能够感受到大家对供应链安全的重视，作为供应链上的一环，我司在要求供应商的同时也被客户要求。目前大家的关注点聚焦在： 1、证明产品的安全性：普遍要求提供代码审计报告、渗透测试报告、开源组件清单、对外开放端口矩阵等，既关注交付时的安全、又兼顾到运行过程中的安全性； 2、供货厂商的安全性：如果说交付产品的安全性是结果，那厂商整体的安全状态、产品研发中的安全则是过程和底层逻辑，这些也会被下游客户所要求。 总体来说，逐步进入了越来越安全的良性循环，这是一个好迹象。 -------------更多内容，请访问------------- 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 日常的漏洞运营，也应该是SDL团队来做吗？ 关于开发安全BP，对开展SDL有哪些帮助？ SDL 79/100问：如何塑造开发安全文化？ SDL 80/100问：怎样算是IAST扫描，都有哪些模式？ SDL 81/100问：如何快速应急开源组件漏洞，比如fastjson？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

个人觉得，要做好这件事儿，需要有两个基础和一个流程：一是漏洞情报，二是组件资产，以及应急响应流程。 1、漏洞情报：组件的漏洞情报，此外还可以关注组件投毒情报，这些情报都可以通过订阅安全公司CERT、微信群或朋友圈获得，也可以监控开源项目； 2、组件资产：不同于主机、容器等资产，组件资产可以从代码中通过SCA工具分析出来，最重要和难得是关联应用系统或下一级的微服务，之所以说难是因为和研发流程密切相关； 3、应急流程：不同于入侵检测流程，这是预防性质的应急，防止漏洞被利用而需要研发团队配合修复、需要清除本地中心仓及发布流程中的相关制品、线上系统更新等。 一些自动化的应用如SOAR、大模型flow也应用到应急中的一些环节，可以加速实现这一目标。 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 日常的漏洞运营，也应该是SDL团队来做吗？ 关于开发安全BP，对开展SDL有哪些帮助？ SDL 79/100问：如何塑造开发安全文化？ SDL 80/100问：怎样算是IAST扫描，都有哪些模式？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

这是一篇招聘信息，为自己招同事。应用安全方向，具体是：安全测试岗 和 SRC技术运营岗，有兴趣的进来看看~

在我接触到的IAST产品中，给用户提供的使用方式主要有两种： 一是测试人员在浏览器设置代理，将待测系统的访问流量导向扫描器，由扫描节点发起主动扫描； 二是在系统的中间件服务上插桩，在启动服务器前先启动监测服务，在访问过程中进行安全测试。前者被认为是假的的IAST，后者才是真的、并且还有主动和被动两种方式。 通常，两者在测试效果方面都会好于DAST，问题定位到代码层面，但漏洞的精准度并不像厂商说的那么高，甚至有的环境全是误报。不过这也是正常现象，面对复杂的业务环境及不同的实现方式，很难有一款安全工具是全能的。 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 日常的漏洞运营，也应该是SDL团队来做吗？ 关于开发安全BP，对开展SDL有哪些帮助？ SDL 79/100问：如何塑造开发安全文化？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

提到塑造文化，总是让人想到培训、考试、认证等，但除了这些呢？通过长期实践后，发现还可以结合具体的业务去做： 1、做集团级的研发安全风险晒榜：在公司内部或公司高管/各部门负责人范围内，按照部门进行安全风险晾晒，可以让业务线从上至下的重视起来； 2、通过重大安全保障活动扩大影响力：比如每年国家级的HW，业务方凡是出现了事故，你绝对会重视起来，次年估计都会主动找安全团队要帮忙。 总结一下，既要依靠常规的培训和考试、宣传等措施，又可以结合研发安全业务的一些指标、安全事件配合一起塑造研发安全的文化和氛围。 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ 日常的漏洞运营，也应该是SDL团队来做吗？ SDL 78/100问：关于开发安全BP，对开展SDL有哪些帮助？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟

开发安全BP可以把安全与业务串起来，可以帮助安全团队在业务团队中宣贯和落实安全要求、措施等，对安全团队来说是一种补位、填补人手不够的现状，对业务团队来说是一股安全能力、在熟悉业务的基础上做安全、提升产品安全性。 至于具体可以做哪些事情，这取决于SDL的成熟度。BP虽好，但要发挥其价值实属不易，至少需要从三方面入手： 1、安全团队在提出BP时，最好是拿到CTO甚至更高级别的尚方宝剑，提出人员能力要求和明确工作职责，由业务线老板亲自指定，让其工作正式化而非帮着干； 2、在岗位职责正式化基础上，安全团队要争取到（部分）绩效考核权，对BP有实质的管理权利更能落实SDL，定期组织能力培训或工作开展会议、会让BP更加认真； 3、面对BP的换岗离岗情况，需要建立培训、认证、上岗等常态化运营机制，保证BP掌握基础的安全知识和能力，让整个BP体系和机制正常运转。 此外，BP通常不具备安全能力、安全和风险认知也有限，需要重点培养，在与业务线老板确认BP人员时，可以优先考虑从事安全方向意愿以及个人的责任心。 1、SDL 100问 SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 大家都有哪些SDL运营指标？ 业务系统是否可以带漏洞上线？ SDL 77/100问：日常的漏洞运营，也应该是SDL团队来做吗？ 2、SDL创新实践 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 DevSecOps实施关键：研发安全工具 从安全视角，看研发安全 数字化转型下研发安全痛点 一个思考：安全测试驱动产品安全？ 3、SDL最初实践 【SDL最初实践】开篇 【SDL最初实践】安全培训 【SDL最初实践】安全需求 【SDL最初实践】安全设计 【SDL最初实践】安全开发 【SDL最初实践】安全测试 【SDL最初实践】安全审核 【SDL最初实践】安全响应 4、安全运营实践 基于实践的安全事件简述 安全事件运营SOP：钓鱼邮件 安全事件运营SOP：网络攻击 安全事件运营SOP：蜜罐告警 安全事件运营SOP：webshell事件 安全事件运营SOP：接收漏洞事件 应急能力提升：实战应急困境与突破 应急能力提升：挖矿权限维持攻击模拟