我的安全视界观

为了说清楚问题，先介绍一下提出问题的背景：已经要求业务方进行安全测试，并且有较为完善的机制与流程保障其正常运转。但由于安全检测工具不全都“友好”的支持自动化接入研发流程，故而产生该问题。 回到问题本身，建议从给业务方带来的好处来谈，安全检测工具如DAST（系统/web/容器）等能力开放给业务方，会对其带来更大的便利。比如： 1、有来自客户的安全需求时，要进行扫描并提交报告，此时不需要安全团队帮助、自己就能做； 2、在提交安全测试前，业务方先完成自检或将工具接入自己研发流程SOP（手动触发扫描也算），然后再送检，能够提升发版速度。 随之而来的也会有一些麻烦，比如增大安全工具运营成本、扫描范围不可控等问题，不过都有解、且好处是大于坏处的，所以这事儿就值得持续干下去。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL是否适合互联网公司？ SDL 50/100问：有什么SDL相关的评价体系？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

从问题及接踵而至的回答来看，提问者是想知道SDL推行后，实施的水平怎样？业内应该没有直接评价SDL的模型或方法论，但与之相关的有软件安全或研发安全成熟度的评估方法，如： 1、国外模型：构建安全成熟度模型（BSIMM）、软件保障成熟度模型（SAMM）、CMMI+SAFE模型、软件安全能力成熟度模型（SSCMM）； 2、国内标准：软件安全开发能力评估技术规范、软件供应链安全要求、研发运营一体化(DevOps)能力成熟度模型、可信研发运营安全成熟度评估(TSM)、软件供应链安全能力成熟度评估等。 这些模型或标准各有侧重，但共同之处都提供了一套框架或评估方法、细则，能够帮助在落地SDL时进行效果评估、识别不足并提出改进项。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ 关于安全测试标准化的讨论？ SDL 49/100问：SDL是否适合互联网公司？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

之所以就互联网公司提出SDL适合性疑问，估计是认为：互联网注重效率快速交付、产品线多样带来的不同开发流程和需求等特点，与微软SDL繁重的安全活动、流程相矛盾。 其实，软件安全领域的安全技术也在伴随发展，比如适合DevOps流程的DevSecOps，强调自动化和协作来做安全，以保障软件的发布速度。 SDL不仅是只适用于瀑布开发模式，在自动化的加持下也适用于敏捷模式、甚至DevOps模式。正是因为公司内部大概率不止一种开发模式，故统称为SDL也不为过。至于怎么去做自动化，可以从代码白盒扫描、流量黑盒扫描、先减少检测规则再逐步增加等方面入手，在业务发展中稳步推进安全能力。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ 如何定位及落地威胁建模？ SDL 48/100问：关于安全测试标准化的讨论？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

不同的安全测试工程师，在面对相同系统时，会有不同的测试思路与习惯，以至于发现的漏洞不一样，导致业务方会有一些怨言。在此背景下，就安全测试标准化进行了讨论。 安全测试很难像功能测试一样，有完善的测试用例然后逐一执行。因为安全本身就是意料之外的事情，虽然标准化之后还会出现遗漏，但带来的安全效果肯定会比单兵作战要好，所以这事儿是有必要做的。回顾我们的做法： 1、资深安全测试工程师牵头编写安全测试用例集，结合历史漏洞、主营业务功能来做； 2、其他安全测试工程师学习安全测试用例集，并补充自己的思路，这是一个持续过程； 3、参照安全测试用例集，尝试开发一些小工具用于提升效率； 4、将测试集分享给业务线学习，鼓励业务线的测试、开发进行自测。 至此，作为集团级的应用安全团队就没啥招了，从效果来看仅对扩展测试思路有用、开发的小工具效果也一般。后来，就没再维护安全测试用例集，取而代之的是建设“纵深”的安全测试工具链：（安全需求、安全设计）－ SAST、SCA、人工审计 － IAST、DAST、人工测试 － SRC收洞，并通过对外部发现的漏洞复盘、不断优化整个安全测试体系（规范-流程-工具-人员）。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？ SDL 47/100问：如何定位及落地威胁建模？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

SDL涉及到多个安全活动，随着DevSecOps火热，相关安全活动数量还在增加。从纯产出的角度（漏洞、合规及市场需求）来说，这些活动的“部分”优先级如下： 1、DAST，包括主机漏扫、web漏洞扫描、容器漏洞扫描等，满足合规需求； 2、SAST，通过规则精简、调优及数据流追踪等原理检测，很大程度上降低误报； 3、IAST，对于技术栈统一且与工具匹配的业务，这一点排名甚至可以排到第二； 4、人工安全测试，包括渗透测试和代码审计，作为工具的补充很有必要，但资源有限时不会考虑； 5、安全设计，如问题中的威胁建模，对业务场景中的安全问题发现效果非常好、且更早发现，缺点就是对人的要求太高、自动化难度大。 由此可以见得威胁建模在我心中的定位，虽然排名靠后但并不是不好，相反是很好，但就是“太贵”！关于落地方面的经验，在第16问中有介绍，此处不再描述。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ Sonar是否好用以及误报率咋样？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 在研发安全流程落地方面，有何经验？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 如何展示SDL的成果或效果？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ 如何安全管理研发提交代码到GitHub进行开源？ 安全组件(SDK)能够否覆盖Owasp Top 10? SDL 46/100问：SDL建设是难中难，该如何做？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

仅从回答问题的角度来说，安全SDK肯定不能覆盖全owasp top 10(当前还是2021版)，因为在这个列表中涉及到的安全问题范围比较广，比如： 1、不安全的设计、使用自带缺陷和过时的组件（属于设计阶段该考虑的问题）； 2、安全配置错误、安全日志和监控故障，也与安全SDK无直接关系。 回归到这个问题本质，安全SDK能够解决的应该是常见web漏洞，如owasp top 10中的注入类、SSRF，之外的如文件上传、反序列化等。 经过一些实践之后，发现比较好的方式还是在开发框架层面做安全，因为现在的框架提供越来越多的安全功能，正确使用就能解决很多漏洞，所以安全团队的关注点也可以放到安全的开发框架及引导开发正确使用。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ 有没有好用的SDL平台？ Sonar是否好用以及误报率咋样？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 在研发安全流程落地方面，有何经验？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 如何展示SDL的成果或效果？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ 安全组件如何在SDL中落地？ SDL 44/100问：如何安全管理研发提交代码到GitHub进行开源？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

这个问题容易与另一个混淆：github信息泄露监测，从权责角度来看，这是安全人员的管理职责。然而标题所述，应该把安全人员定位为参与者比较合适。 对外开源项目可能是为了提升团队/个人影响力、遵循开源社区协议...等各种原因，综合来看算是一个合理的需求，但是需要注意数据资产安全性，比如：是否是核心代码，是否报备公司并取得同意，代码中是否含有公司相关的敏感信息？ 针对前两个问题，公司应该设置配置管理团队或技术委员会，对公司代码进行管理和使用审批，安全作为其中一环对要开源的项目进行敏感信息检测，各层检测/审批通过后方可对外开源。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ 有没有好用的SDL平台？ Sonar是否好用以及误报率咋样？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 在研发安全流程落地方面，有何经验？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 如何展示SDL的成果或效果？ 怎么解决源代码两张皮导致安全失效？ 开发安全培训是否有效？ SDL 43/100问：安全组件如何在SDL中落地？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

SDL是一个体系化的大工程，需要业务方增加人员投入进行配合，很可能影响业务系统发布节奏，所以会遇到不少阻力。 不过从为“业务保驾护航，安全服务业务”的切入点出发，保持“结合实际定制，轻柔融入”的原则，会增大成功的概率。在推进时可以： 1、找案例：纵观行业，介绍在SDL方面做得好的公司以及取得的成效； 2、讲好处：可以获得及早发现安全风险、满足法规要求、全面提高产品安全性、增强客户信任等收益； 3、先试点：找重视安全有意愿的、安全问题比较多的业务开始小范围推进，最开始可以是1个业务跑通流程、持续优化； 4、再全面：有了小范围的试点之后，以此为先进代表、在公司公开晒取得的成果，产生一定影响力，与此同时可以直接将SDL写成安全规范，然后在全公司推广。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ 有没有好用的SDL平台？ Sonar是否好用以及误报率咋样？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 在研发安全流程落地方面，有何经验？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 如何展示SDL的成果或效果？ 怎么解决源代码两张皮导致安全失效？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

开发安全培训，此处主要是指给业务团队进行安全意识与安全技能的培训，如：安全规范培训、安全需求培训、安全工具培训、编码安全培训等，是SDL中很重要的一环。如果直接回答提问的话，答案肯定是Yes。 但对于“有效”的理解，不应该是达到100%的效果，比如组织编码安全培训后，不能期望开发时就不会引入漏洞，而是在开发时有意识思考有没有安全风险、弄不清楚的知道联系安全团队咨询、引入安全组件等。我想这是比较有效又合理的结果，不过要做到这程度并非易事，可以从三方面做努力： 1、培训的连续性，做到常态化、线上化； 2、培训得有考核，组织参与的人员/部门考试，排名并公布； 3、培训有针对性，针对研发人员、运维人员、产品经理做不同的内容设计。 此外曾经做过一次尝试，“把产生问题的人干掉”。即：年底，组织各业务写漏洞top排名的开发人员进行针对性学习及考试，惊喜的发现有不少人考了很多遍，有个研发刷了20+次直到拿到100分。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ 有没有好用的SDL平台？ Sonar是否好用以及误报率咋样？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 在研发安全流程落地方面，有何经验？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ 如何展示SDL的成果或效果？ SDL 40/100问：怎么解决源代码两张皮导致安全失效？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

提问者的原意是：系统发版前进行了安全测试，但是业务方不想投入太多时间整改，直接把未改完的代码给到运维中心发版上线。如果仅进行安全团队自省，则大概率是研发安全的工作模式出现了问题： 1、安全检查没有嵌入到研发流程中，缺少卡点或检查，不能阻断不达标系统上线； 2、安全质量没有和业务绩效挂钩，或执行不到位，导致可以直接不理安全就发版。 再深挖一层，可能是研发安全团队处境比较尴尬，没有足够的话语权，甚至没有取得高管的认可与信任。这是开展研发安全工作的基础，值得想办法去破局。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ 有没有好用的SDL平台？ Sonar是否好用以及误报率咋样？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 在研发安全流程落地方面，有何经验？ 如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？ SDL 39/100问：如何展示SDL的成果或效果？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

在探讨SDL的成效之前，先回溯下SDL实施的初衷：即在软件开发的各个阶段中，力求尽早且全面地识别并解决漏洞及潜在的安全风险，从而转变以往软件上线后频繁应对安全事件的不利局面。基于这一初衷，至少可提炼出以下三个关键的成效衡量指标： 1、漏洞数量：实施SDL前后，相同周期内发现的漏洞数量，展示实施SDL带来的漏挖能力提升效果； 2、漏洞修复率：已发现漏洞的修复率，也是比较SDL前后，展示SDL流程或措施在该方面的提升效果； 3、安全事件发生率：统计SDL前后的，外部发现漏洞的数量，展示SDL在降低安全事件发生率方面的效果。 此外，这些都是结果指标，若SDL在建设过程中，还可以添加过程指标，证明SDL带来的好处： 1、安全测试覆盖率：统计SDL前后的安全提测工单数量，包括代码审计、开源组件检测、动态扫描、渗透测试等； 2、漏洞检出能力：统计SDL前后的漏洞检测能力，如针对某类漏洞的检测能力增强或填补空白。 综上所述，以上指标均可作为衡量SDL成效的重要依据。为了更直观地展示这些指标的变化趋势与对比情况，建议采用图表等可视化手段进行展示，以便更好地理解和分析SDL的实施效果。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 应该如何选型代码安全扫描工具？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ 有没有好用的SDL平台？ Sonar是否好用以及误报率咋样？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 在研发安全流程落地方面，有何经验？ 如何说服业务完成checklist自检？ SDL 38/100问：sdl会对项目变更代码做review吗？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

代码审查（Code Review）是一个由项目核心成员，如资深开发架构师执行的精密流程，其核心在于对源代码实施全面而系统的审核。此过程的根本目的，在于识别代码中潜藏的缺陷、安全漏洞、违反编码标准之处，以及可进一步提升的性能瓶颈。 从安全性的专业视角出发，尽管在某些关键功能或敏感场景中，人工审查仍具有不可替代的价值，但在日常实践中，鉴于项目代码的高频变动性，更为高效且可持续的策略是采用自动化的安全扫描机制。这通常涉及在代码提交或构建阶段，无缝集成静态应用安全测试（SAST）工具，以确保安全扫描能够即时响应代码变更。 至于扫描范围的选择，即在仅针对变更部分还是整个项目进行全面扫描之间权衡，是一个值得深入探讨的问题。从确保漏洞检测准确性的专业角度出发，在扫描能力和系统性能允许的前提下，推荐采取全项目扫描策略。这一做法能够最大限度地减少因代码变更可能引发的安全盲区，从而确保项目整体的安全性处于可控且优化的状态。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ 有没有好用的SDL平台？ Sonar是否好用以及误报率咋样？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ 在研发安全流程落地方面，有何经验？ SDL 37/100问：如何说服业务完成checklist自检？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

不少群友都提及绩效导向与领导层的支持，对此我亦持赞同立场。然而，在此基础上，我们更需从研发视角出发，精心筹备安全检查清单（checklist）。我曾与一位研发总监深入交流，他虽对安全工作表达了积极支持，却对填写checklist感到为难： 团队协作难题：同一产品往往牵涉多个研发团队，如何确保各团队均能参与填写，并明确责任归属？ 填写时机模糊：设计初期填写可能因信息不足而效果欠佳，开发后期则可能错失引导时机，究竟何时填写最为适宜？ 内容理解障碍：checklist内容繁杂、粒度不一，且多从安全工程师视角撰写，导致研发人员难以准确理解。 鉴于此，初期应侧重于实施SAST、DAST及架构安全评审等更为基础且有效的安全措施。待体系成熟后，再行考虑引入checklist。同时，我们应致力于简化并系统化checklist，降低其复杂度，并减少自检查的频率，方能确保安全检查清单在组织中得以顺利推行并发挥实效。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ 有没有好用的SDL平台？ Sonar是否好用以及误报率咋样？ 如何推进有问题的jar包更新？ SCA工具的误报率怎样？ SDL 36/100问：在研发安全流程落地方面，有何经验？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

常见的研发安全流程有：安全提测流程、漏洞修复流程、绿色通道上线流程等，这些流程的落地离不开现有研发流程及卡点。 1、先说研发流程，其实应该涉及产品的立项、需求评审、架构评审及上线前的审核等，安全的相关流程应该保持与研发流程一致； 2、再说安全卡点，一般设置在资源申请（内网应用系统如域名资源）、规则申请（外网应用系统如ACL映射），可以在这些关键节点上加上安全验收检查，以保证流程的落地应用。 安全流程的落地一定要尽可能轻量、柔和接入，还要保持处理效率。因此SDL做到最后，肯定是需要一个线上化的平台来处理流程在内的所有相关事情。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ 有没有好用的SDL平台？ Sonar是否好用以及误报率咋样？ 如何推进有问题的jar包更新？ SDL 35/100问：SCA工具的误报率怎样？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

如果从漏洞可以利用的角度出发，那误报率就是很高，因为这些CVE漏洞并不都能被利用、结合具体业务场景更不会触发漏洞（实际可能并没有使用到存在漏洞的配置或函数）...但从治理角度来说，不能仅看误报率，而是要看这个SCA工具的拆包能力和漏洞库。 从目前遇到的情况来看，想向大家分享三条真相： 1、SCA工具普遍对C/C++使用的开源组件识别不够好； 2、自家团队没弄出来POC的漏洞，不代表外部人弄不出来； 3、对开源组件的片段代码引用、代码查重，将会越来重视。 以上1-2点都是自己血淋淋的教训，而且还都发生在今年的国家级攻防演习中，希望在做开源安全治理时有所启发。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ 有没有好用的SDL平台？ Sonar是否好用以及误报率咋样？ SDL 34/100问：如何推进有问题的jar包更新？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

关于jar更新问题，属于开源组件安全治理的范畴。从SDL体系上来看，还是应该纳入到统一的漏洞管理流程中跟进，即使这个问题可能是后门或强传染性开源协议。 在推动开源组件修复的过程中，可能会遇到：漏洞太多推哪些修、如何让开发愿意修等难题。若是初期可以小范围试点推修，比如有公开POC的先修；慢慢再扩大范围为所有高风险、甚至中风险。 切记不要随着开发的思路：验证成功了，再修。因为开源组件CVE漏洞验证成功水太深（业务场景不熟悉、技术水平达不到、漏洞数量太多...），按这个路数大概率会走向失败。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ 有没有好用的SDL平台？ Sonar是否好用以及误报率咋样？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

漏洞风险等级，通常与漏洞对系统的影响程度和被利用的难易程度紧密相关。其计算方法比较出名、比较推荐的是CVSS，最新已经到4.0版本，First官方有提供在线计算器，但也可以写成脚本工具方便使用。 从应用场景来看，理论上是统一漏洞定级、方便推修及管理。但实际在公司内部通常不做那么复杂的计算，大概率直接参照安全检测工具给出的等级。在一些高要求的场景中会用到，比如华为对供应商的漏洞上报要求中，因此有必要知道和熟练掌握。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ SDL 31/100问：有没有好用的SDL平台？ SDL 32/100问：Sonar是否好用以及误报率咋样？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

代码安全扫描的误报率居高不下，一直是业界的难题。就当前的技术来说，唯有结合实际代码人工运营检测规则，才会有不错效果，所以不打算深入聊误报率。 既然遇到这个话题，不妨说下SonarQube(Sonar的一个版本)，是一个用于代码质量检测和管理的平台，可检测Bug、坏味道、漏洞等。通过插件形式支持检测多种开发语言，漏洞类型涉及OWASP top 10 (2021)、CWE等编号的漏洞。若使用其进行安全性扫描，至少有2个好处： 1、接入开发流程时间更早：大概率会比安全团队的其他工具更早，因为这是代码质量管理的常见工具，易于与Jenkins、gitlab等各种开发工具集成； 2、质量问题处置流程完善：代码bug修复的需求肯定是优先于安全问题，因为要解决软件可用性问题，所以相关流程、考核指标建设早、会更加完善。 但在实际场景中，大多数安全团队为什么不用？有个关键点是：配置管理团队给不给安全团队使用，这是权责与利益问题。此外，曾做过对比测试，专业的SAST工具在检测规则数量、实际检出效果方面（均为默认规则），也确实比SonarQube好。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ SDL 31/100问：有没有好用的SDL平台？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

在SDL的开展过程中，随着接入的产品线越来越多、安全测试工具越来越多，产出的疑似漏洞或漏洞也就会越来越多，这时候就会需要一个平台来统一管控。 从目前来看，市场上并没有出现比较出名的标品，其原因可能是各家研发基础设施和流程不同，因此有很多定制化的需求。不过还是围绕解决问题出发，一个好用的SDL平台至少需要具备： 1、安全测试工具联动，如SAST、SCA、DAST、IAST的扫描任务管理、漏洞同步、规则调优等； 2、开发安全流程线上化，如带病上线的绿色通道申请流程、安全提测加急流程、漏洞修复流程等； 3、多种角色使用的功能，如安全工程师（安全测试）、产品线领导（风险态势）、产线开发人员（漏洞修复）等。 然而，以上这些都是需要在实践之后才能做得好，这也是SDL平台的宝贵之处。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SDL与DevSecOps有何异同？ 如何在不同企业实施SDL？ SAST误报太高，如何解决？ SDL需要哪些人参与？ 在devops中做开发安全，会遇到哪些问题？ 如何实施安全需求？ 安全需求，有哪些来源？ 安全需求怎么实现自动化？ 实施安全需求，会遇到哪些难题？ 安全需求和安全设计有何异同及关联？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ 在编码阶段加入安全检查后，如何处理带来的时间压力？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

这是一个好迹象，说明已经开始关注开源组件的安全性。不过估计是在开源治理的初期。从建设阶段来说更重要的是看是否有预算投入，有充足预算肯定建议是用商用，没有预算则引入开源工具也尚可。无论是自研还是外购，有几条经验可以分享： 1、尽可能的要嵌入研发流程，自动化触发扫描，以及漏洞推送； 2、刚开始推广时，可能会在漏洞修复方面遇到困难，所以可以先要求风险非常高的组件及漏洞，再慢慢扩展开来； 3、对于开源组件，除了漏洞之外，还要关注许可证协议、后门，在一些行业许可证的合规性优先级可能更高，后门是深水区、有必要做但真正做得好的还不多。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SDL与DevSecOps有何异同？ 如何在不同企业实施SDL？ SAST误报太高，如何解决？ SDL需要哪些人参与？ 在devops中做开发安全，会遇到哪些问题？ 如何实施安全需求？ 安全需求，有哪些来源？ 安全需求怎么实现自动化？ 实施安全需求，会遇到哪些难题？ 安全需求和安全设计有何异同及关联？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ 在编码阶段加入安全检查后，如何处理带来的时间压力？ SDL 29/100问：白盒检测工具存在局限性，如何进行补偿？ 2、SDL最初实践系列 开篇 安全需求 安全设计 安全开发 安全测试 安全审核 安全响应 3、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点