我的安全视界观

SDL 50/100问:有什么SDL相关的评价体系?(link is external)

我的安全视界观
3 months 3 weeks ago
从问题及接踵而至的回答来看,提问者是想知道SDL推行后,实施的水平怎样?业内应该没有直接评价SDL的模型或方法论,但与之相关的有软件安全或研发安全成熟度的评估方法,如: 1、国外模型:构建安全成熟度模型(BSIMM)、软件保障成熟度模型(SAMM)、CMMI+SAFE模型、软件安全能力成熟度模型(SSCMM); 2、国内标准:软件安全开发能力评估技术规范、软件供应链安全要求、研发运营一体化(DevOps)能力成熟度模型、可信研发运营安全成熟度评估(TSM)、软件供应链安全能力成熟度评估等。 这些模型或标准各有侧重,但共同之处都提供了一套框架或评估方法、细则,能够帮助在落地SDL时进行效果评估、识别不足并提出改进项。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 设计阶段应开展哪些安全活动? 如何选择开源组件安全扫描(SCA)工具? SCA工具扫描出很多漏洞,如何处理? SCA工具识别出高风险协议,如何处理? 应该如何选型代码安全扫描工具? 如何推进有问题的jar包更新? SCA工具的误报率怎样? 如何说服业务完成checklist自检? sdl会对项目变更代码做review吗? 怎么解决源代码两张皮导致安全失效? 开发安全培训是否有效? 安全组件如何在SDL中落地? 如何安全管理研发提交代码到GitHub进行开源? 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难,该如何做? 如何定位及落地威胁建模? 关于安全测试标准化的讨论? SDL 49/100问:SDL是否适合互联网公司? 2、SDL创新实践系列 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点

SDL 50/100问:有什么SDL相关的评价体系?(link is external)

我的安全视界观
3 months 3 weeks ago
从问题及接踵而至的回答来看,提问者是想知道SDL推行后,实施的水平怎样?业内应该没有直接评价SDL的模型或方法论,但与之相关的有软件安全或研发安全成熟度的评估方法,如: 1、国外模型:构建安全成熟度模型(BSIMM)、软件保障成熟度模型(SAMM)、CMMI+SAFE模型、软件安全能力成熟度模型(SSCMM); 2、国内标准:软件安全开发能力评估技术规范、软件供应链安全要求、研发运营一体化(DevOps)能力成熟度模型、可信研发运营安全成熟度评估(TSM)、软件供应链安全能力成熟度评估等。 这些模型或标准各有侧重,但共同之处都提供了一套框架或评估方法、细则,能够帮助在落地SDL时进行效果评估、识别不足并提出改进项。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 设计阶段应开展哪些安全活动? 如何选择开源组件安全扫描(SCA)工具? SCA工具扫描出很多漏洞,如何处理? SCA工具识别出高风险协议,如何处理? 应该如何选型代码安全扫描工具? 如何推进有问题的jar包更新? SCA工具的误报率怎样? 如何说服业务完成checklist自检? sdl会对项目变更代码做review吗? 怎么解决源代码两张皮导致安全失效? 开发安全培训是否有效? 安全组件如何在SDL中落地? 如何安全管理研发提交代码到GitHub进行开源? 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难,该如何做? 如何定位及落地威胁建模? 关于安全测试标准化的讨论? SDL 49/100问:SDL是否适合互联网公司? 2、SDL创新实践系列 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点

SDL 49/100问:SDL是否适合互联网公司?(link is external)

我的安全视界观
3 months 3 weeks ago
之所以就互联网公司提出SDL适合性疑问,估计是认为:互联网注重效率快速交付、产品线多样带来的不同开发流程和需求等特点,与微软SDL繁重的安全活动、流程相矛盾。 其实,软件安全领域的安全技术也在伴随发展,比如适合DevOps流程的DevSecOps,强调自动化和协作来做安全,以保障软件的发布速度。 SDL不仅是只适用于瀑布开发模式,在自动化的加持下也适用于敏捷模式、甚至DevOps模式。正是因为公司内部大概率不止一种开发模式,故统称为SDL也不为过。至于怎么去做自动化,可以从代码白盒扫描、流量黑盒扫描、先减少检测规则再逐步增加等方面入手,在业务发展中稳步推进安全能力。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 设计阶段应开展哪些安全活动? 如何选择开源组件安全扫描(SCA)工具? SCA工具扫描出很多漏洞,如何处理? SCA工具识别出高风险协议,如何处理? 应该如何选型代码安全扫描工具? 如何推进有问题的jar包更新? SCA工具的误报率怎样? 如何说服业务完成checklist自检? sdl会对项目变更代码做review吗? 怎么解决源代码两张皮导致安全失效? 开发安全培训是否有效? 安全组件如何在SDL中落地? 如何安全管理研发提交代码到GitHub进行开源? 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难,该如何做? 如何定位及落地威胁建模? SDL 48/100问:关于安全测试标准化的讨论? 2、SDL创新实践系列 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点

SDL 49/100问:SDL是否适合互联网公司?(link is external)

我的安全视界观
3 months 3 weeks ago
之所以就互联网公司提出SDL适合性疑问,估计是认为:互联网注重效率快速交付、产品线多样带来的不同开发流程和需求等特点,与微软SDL繁重的安全活动、流程相矛盾。 其实,软件安全领域的安全技术也在伴随发展,比如适合DevOps流程的DevSecOps,强调自动化和协作来做安全,以保障软件的发布速度。 SDL不仅是只适用于瀑布开发模式,在自动化的加持下也适用于敏捷模式、甚至DevOps模式。正是因为公司内部大概率不止一种开发模式,故统称为SDL也不为过。至于怎么去做自动化,可以从代码白盒扫描、流量黑盒扫描、先减少检测规则再逐步增加等方面入手,在业务发展中稳步推进安全能力。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 设计阶段应开展哪些安全活动? 如何选择开源组件安全扫描(SCA)工具? SCA工具扫描出很多漏洞,如何处理? SCA工具识别出高风险协议,如何处理? 应该如何选型代码安全扫描工具? 如何推进有问题的jar包更新? SCA工具的误报率怎样? 如何说服业务完成checklist自检? sdl会对项目变更代码做review吗? 怎么解决源代码两张皮导致安全失效? 开发安全培训是否有效? 安全组件如何在SDL中落地? 如何安全管理研发提交代码到GitHub进行开源? 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难,该如何做? 如何定位及落地威胁建模? SDL 48/100问:关于安全测试标准化的讨论? 2、SDL创新实践系列 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点

SDL 49/100问:SDL是否适合互联网公司?(link is external)

我的安全视界观
3 months 3 weeks ago
之所以就互联网公司提出SDL适合性疑问,估计是认为:互联网注重效率快速交付、产品线多样带来的不同开发流程和需求等特点,与微软SDL繁重的安全活动、流程相矛盾。 其实,软件安全领域的安全技术也在伴随发展,比如适合DevOps流程的DevSecOps,强调自动化和协作来做安全,以保障软件的发布速度。 SDL不仅是只适用于瀑布开发模式,在自动化的加持下也适用于敏捷模式、甚至DevOps模式。正是因为公司内部大概率不止一种开发模式,故统称为SDL也不为过。至于怎么去做自动化,可以从代码白盒扫描、流量黑盒扫描、先减少检测规则再逐步增加等方面入手,在业务发展中稳步推进安全能力。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 设计阶段应开展哪些安全活动? 如何选择开源组件安全扫描(SCA)工具? SCA工具扫描出很多漏洞,如何处理? SCA工具识别出高风险协议,如何处理? 应该如何选型代码安全扫描工具? 如何推进有问题的jar包更新? SCA工具的误报率怎样? 如何说服业务完成checklist自检? sdl会对项目变更代码做review吗? 怎么解决源代码两张皮导致安全失效? 开发安全培训是否有效? 安全组件如何在SDL中落地? 如何安全管理研发提交代码到GitHub进行开源? 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难,该如何做? 如何定位及落地威胁建模? SDL 48/100问:关于安全测试标准化的讨论? 2、SDL创新实践系列 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点

SDL 49/100问:SDL是否适合互联网公司?(link is external)

我的安全视界观
3 months 3 weeks ago
之所以就互联网公司提出SDL适合性疑问,估计是认为:互联网注重效率快速交付、产品线多样带来的不同开发流程和需求等特点,与微软SDL繁重的安全活动、流程相矛盾。 其实,软件安全领域的安全技术也在伴随发展,比如适合DevOps流程的DevSecOps,强调自动化和协作来做安全,以保障软件的发布速度。 SDL不仅是只适用于瀑布开发模式,在自动化的加持下也适用于敏捷模式、甚至DevOps模式。正是因为公司内部大概率不止一种开发模式,故统称为SDL也不为过。至于怎么去做自动化,可以从代码白盒扫描、流量黑盒扫描、先减少检测规则再逐步增加等方面入手,在业务发展中稳步推进安全能力。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 设计阶段应开展哪些安全活动? 如何选择开源组件安全扫描(SCA)工具? SCA工具扫描出很多漏洞,如何处理? SCA工具识别出高风险协议,如何处理? 应该如何选型代码安全扫描工具? 如何推进有问题的jar包更新? SCA工具的误报率怎样? 如何说服业务完成checklist自检? sdl会对项目变更代码做review吗? 怎么解决源代码两张皮导致安全失效? 开发安全培训是否有效? 安全组件如何在SDL中落地? 如何安全管理研发提交代码到GitHub进行开源? 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难,该如何做? 如何定位及落地威胁建模? SDL 48/100问:关于安全测试标准化的讨论? 2、SDL创新实践系列 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点

SDL 48/100问:关于安全测试标准化的讨论?(link is external)

我的安全视界观
3 months 3 weeks ago
不同的安全测试工程师,在面对相同系统时,会有不同的测试思路与习惯,以至于发现的漏洞不一样,导致业务方会有一些怨言。在此背景下,就安全测试标准化进行了讨论。 安全测试很难像功能测试一样,有完善的测试用例然后逐一执行。因为安全本身就是意料之外的事情,虽然标准化之后还会出现遗漏,但带来的安全效果肯定会比单兵作战要好,所以这事儿是有必要做的。回顾我们的做法: 1、资深安全测试工程师牵头编写安全测试用例集,结合历史漏洞、主营业务功能来做; 2、其他安全测试工程师学习安全测试用例集,并补充自己的思路,这是一个持续过程; 3、参照安全测试用例集,尝试开发一些小工具用于提升效率; 4、将测试集分享给业务线学习,鼓励业务线的测试、开发进行自测。 至此,作为集团级的应用安全团队就没啥招了,从效果来看仅对扩展测试思路有用、开发的小工具效果也一般。后来,就没再维护安全测试用例集,取而代之的是建设“纵深”的安全测试工具链:(安全需求、安全设计)- SAST、SCA、人工审计 - IAST、DAST、人工测试 - SRC收洞,并通过对外部发现的漏洞复盘、不断优化整个安全测试体系(规范-流程-工具-人员)。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 设计阶段应开展哪些安全活动? 如何选择开源组件安全扫描(SCA)工具? SCA工具扫描出很多漏洞,如何处理? SCA工具识别出高风险协议,如何处理? 应该如何选型代码安全扫描工具? 如何推进有问题的jar包更新? SCA工具的误报率怎样? 如何说服业务完成checklist自检? sdl会对项目变更代码做review吗? 怎么解决源代码两张皮导致安全失效? 开发安全培训是否有效? 安全组件如何在SDL中落地? 如何安全管理研发提交代码到GitHub进行开源? 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难,该如何做? SDL 47/100问:如何定位及落地威胁建模? 2、SDL创新实践系列 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点

SDL 48/100问:关于安全测试标准化的讨论?(link is external)

我的安全视界观
3 months 3 weeks ago
不同的安全测试工程师,在面对相同系统时,会有不同的测试思路与习惯,以至于发现的漏洞不一样,导致业务方会有一些怨言。在此背景下,就安全测试标准化进行了讨论。 安全测试很难像功能测试一样,有完善的测试用例然后逐一执行。因为安全本身就是意料之外的事情,虽然标准化之后还会出现遗漏,但带来的安全效果肯定会比单兵作战要好,所以这事儿是有必要做的。回顾我们的做法: 1、资深安全测试工程师牵头编写安全测试用例集,结合历史漏洞、主营业务功能来做; 2、其他安全测试工程师学习安全测试用例集,并补充自己的思路,这是一个持续过程; 3、参照安全测试用例集,尝试开发一些小工具用于提升效率; 4、将测试集分享给业务线学习,鼓励业务线的测试、开发进行自测。 至此,作为集团级的应用安全团队就没啥招了,从效果来看仅对扩展测试思路有用、开发的小工具效果也一般。后来,就没再维护安全测试用例集,取而代之的是建设“纵深”的安全测试工具链:(安全需求、安全设计)- SAST、SCA、人工审计 - IAST、DAST、人工测试 - SRC收洞,并通过对外部发现的漏洞复盘、不断优化整个安全测试体系(规范-流程-工具-人员)。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 设计阶段应开展哪些安全活动? 如何选择开源组件安全扫描(SCA)工具? SCA工具扫描出很多漏洞,如何处理? SCA工具识别出高风险协议,如何处理? 应该如何选型代码安全扫描工具? 如何推进有问题的jar包更新? SCA工具的误报率怎样? 如何说服业务完成checklist自检? sdl会对项目变更代码做review吗? 怎么解决源代码两张皮导致安全失效? 开发安全培训是否有效? 安全组件如何在SDL中落地? 如何安全管理研发提交代码到GitHub进行开源? 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难,该如何做? SDL 47/100问:如何定位及落地威胁建模? 2、SDL创新实践系列 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点

SDL 48/100问:关于安全测试标准化的讨论?(link is external)

我的安全视界观
3 months 3 weeks ago
不同的安全测试工程师,在面对相同系统时,会有不同的测试思路与习惯,以至于发现的漏洞不一样,导致业务方会有一些怨言。在此背景下,就安全测试标准化进行了讨论。 安全测试很难像功能测试一样,有完善的测试用例然后逐一执行。因为安全本身就是意料之外的事情,虽然标准化之后还会出现遗漏,但带来的安全效果肯定会比单兵作战要好,所以这事儿是有必要做的。回顾我们的做法: 1、资深安全测试工程师牵头编写安全测试用例集,结合历史漏洞、主营业务功能来做; 2、其他安全测试工程师学习安全测试用例集,并补充自己的思路,这是一个持续过程; 3、参照安全测试用例集,尝试开发一些小工具用于提升效率; 4、将测试集分享给业务线学习,鼓励业务线的测试、开发进行自测。 至此,作为集团级的应用安全团队就没啥招了,从效果来看仅对扩展测试思路有用、开发的小工具效果也一般。后来,就没再维护安全测试用例集,取而代之的是建设“纵深”的安全测试工具链:(安全需求、安全设计)- SAST、SCA、人工审计 - IAST、DAST、人工测试 - SRC收洞,并通过对外部发现的漏洞复盘、不断优化整个安全测试体系(规范-流程-工具-人员)。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 设计阶段应开展哪些安全活动? 如何选择开源组件安全扫描(SCA)工具? SCA工具扫描出很多漏洞,如何处理? SCA工具识别出高风险协议,如何处理? 应该如何选型代码安全扫描工具? 如何推进有问题的jar包更新? SCA工具的误报率怎样? 如何说服业务完成checklist自检? sdl会对项目变更代码做review吗? 怎么解决源代码两张皮导致安全失效? 开发安全培训是否有效? 安全组件如何在SDL中落地? 如何安全管理研发提交代码到GitHub进行开源? 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难,该如何做? SDL 47/100问:如何定位及落地威胁建模? 2、SDL创新实践系列 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点

SDL 48/100问:关于安全测试标准化的讨论?(link is external)

我的安全视界观
3 months 3 weeks ago
不同的安全测试工程师,在面对相同系统时,会有不同的测试思路与习惯,以至于发现的漏洞不一样,导致业务方会有一些怨言。在此背景下,就安全测试标准化进行了讨论。 安全测试很难像功能测试一样,有完善的测试用例然后逐一执行。因为安全本身就是意料之外的事情,虽然标准化之后还会出现遗漏,但带来的安全效果肯定会比单兵作战要好,所以这事儿是有必要做的。回顾我们的做法: 1、资深安全测试工程师牵头编写安全测试用例集,结合历史漏洞、主营业务功能来做; 2、其他安全测试工程师学习安全测试用例集,并补充自己的思路,这是一个持续过程; 3、参照安全测试用例集,尝试开发一些小工具用于提升效率; 4、将测试集分享给业务线学习,鼓励业务线的测试、开发进行自测。 至此,作为集团级的应用安全团队就没啥招了,从效果来看仅对扩展测试思路有用、开发的小工具效果也一般。后来,就没再维护安全测试用例集,取而代之的是建设“纵深”的安全测试工具链:(安全需求、安全设计)- SAST、SCA、人工审计 - IAST、DAST、人工测试 - SRC收洞,并通过对外部发现的漏洞复盘、不断优化整个安全测试体系(规范-流程-工具-人员)。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 设计阶段应开展哪些安全活动? 如何选择开源组件安全扫描(SCA)工具? SCA工具扫描出很多漏洞,如何处理? SCA工具识别出高风险协议,如何处理? 应该如何选型代码安全扫描工具? 如何推进有问题的jar包更新? SCA工具的误报率怎样? 如何说服业务完成checklist自检? sdl会对项目变更代码做review吗? 怎么解决源代码两张皮导致安全失效? 开发安全培训是否有效? 安全组件如何在SDL中落地? 如何安全管理研发提交代码到GitHub进行开源? 安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难,该如何做? SDL 47/100问:如何定位及落地威胁建模? 2、SDL创新实践系列 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点

SDL 47/100问:如何定位及落地威胁建模?(link is external)

我的安全视界观
3 months 3 weeks ago
SDL涉及到多个安全活动,随着DevSecOps火热,相关安全活动数量还在增加。从纯产出的角度(漏洞、合规及市场需求)来说,这些活动的“部分”优先级如下: 1、DAST,包括主机漏扫、web漏洞扫描、容器漏洞扫描等,满足合规需求; 2、SAST,通过规则精简、调优及数据流追踪等原理检测,很大程度上降低误报; 3、IAST,对于技术栈统一且与工具匹配的业务,这一点排名甚至可以排到第二; 4、人工安全测试,包括渗透测试和代码审计,作为工具的补充很有必要,但资源有限时不会考虑; 5、安全设计,如问题中的威胁建模,对业务场景中的安全问题发现效果非常好、且更早发现,缺点就是对人的要求太高、自动化难度大。 由此可以见得威胁建模在我心中的定位,虽然排名靠后但并不是不好,相反是很好,但就是“太贵”!关于落地方面的经验,在第16问中有介绍,此处不再描述。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 设计阶段应开展哪些安全活动? 有哪些不错的安全设计参考资料? 安全设计要求怎么做才能落地? 有哪些威胁建模方法论? 如何选择开源组件安全扫描(SCA)工具? SCA工具扫描出很多漏洞,如何处理? SCA工具识别出高风险协议,如何处理? 应该如何选型代码安全扫描工具? 白盒检测工具存在局限性,如何进行补偿? SCA用什么系统做,自研还是外购? Sonar是否好用以及误报率咋样? 如何推进有问题的jar包更新? SCA工具的误报率怎样? 在研发安全流程落地方面,有何经验? 如何说服业务完成checklist自检? sdl会对项目变更代码做review吗? 如何展示SDL的成果或效果? 怎么解决源代码两张皮导致安全失效? 开发安全培训是否有效? 安全组件如何在SDL中落地? 如何安全管理研发提交代码到GitHub进行开源? 安全组件(SDK)能够否覆盖Owasp Top 10? SDL 46/100问:SDL建设是难中难,该如何做? 2、SDL创新实践系列 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点

SDL 47/100问:如何定位及落地威胁建模?(link is external)

我的安全视界观
3 months 3 weeks ago
SDL涉及到多个安全活动,随着DevSecOps火热,相关安全活动数量还在增加。从纯产出的角度(漏洞、合规及市场需求)来说,这些活动的“部分”优先级如下: 1、DAST,包括主机漏扫、web漏洞扫描、容器漏洞扫描等,满足合规需求; 2、SAST,通过规则精简、调优及数据流追踪等原理检测,很大程度上降低误报; 3、IAST,对于技术栈统一且与工具匹配的业务,这一点排名甚至可以排到第二; 4、人工安全测试,包括渗透测试和代码审计,作为工具的补充很有必要,但资源有限时不会考虑; 5、安全设计,如问题中的威胁建模,对业务场景中的安全问题发现效果非常好、且更早发现,缺点就是对人的要求太高、自动化难度大。 由此可以见得威胁建模在我心中的定位,虽然排名靠后但并不是不好,相反是很好,但就是“太贵”!关于落地方面的经验,在第16问中有介绍,此处不再描述。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 设计阶段应开展哪些安全活动? 有哪些不错的安全设计参考资料? 安全设计要求怎么做才能落地? 有哪些威胁建模方法论? 如何选择开源组件安全扫描(SCA)工具? SCA工具扫描出很多漏洞,如何处理? SCA工具识别出高风险协议,如何处理? 应该如何选型代码安全扫描工具? 白盒检测工具存在局限性,如何进行补偿? SCA用什么系统做,自研还是外购? Sonar是否好用以及误报率咋样? 如何推进有问题的jar包更新? SCA工具的误报率怎样? 在研发安全流程落地方面,有何经验? 如何说服业务完成checklist自检? sdl会对项目变更代码做review吗? 如何展示SDL的成果或效果? 怎么解决源代码两张皮导致安全失效? 开发安全培训是否有效? 安全组件如何在SDL中落地? 如何安全管理研发提交代码到GitHub进行开源? 安全组件(SDK)能够否覆盖Owasp Top 10? SDL 46/100问:SDL建设是难中难,该如何做? 2、SDL创新实践系列 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点

SDL 47/100问:如何定位及落地威胁建模?(link is external)

我的安全视界观
3 months 3 weeks ago
SDL涉及到多个安全活动,随着DevSecOps火热,相关安全活动数量还在增加。从纯产出的角度(漏洞、合规及市场需求)来说,这些活动的“部分”优先级如下: 1、DAST,包括主机漏扫、web漏洞扫描、容器漏洞扫描等,满足合规需求; 2、SAST,通过规则精简、调优及数据流追踪等原理检测,很大程度上降低误报; 3、IAST,对于技术栈统一且与工具匹配的业务,这一点排名甚至可以排到第二; 4、人工安全测试,包括渗透测试和代码审计,作为工具的补充很有必要,但资源有限时不会考虑; 5、安全设计,如问题中的威胁建模,对业务场景中的安全问题发现效果非常好、且更早发现,缺点就是对人的要求太高、自动化难度大。 由此可以见得威胁建模在我心中的定位,虽然排名靠后但并不是不好,相反是很好,但就是“太贵”!关于落地方面的经验,在第16问中有介绍,此处不再描述。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 设计阶段应开展哪些安全活动? 有哪些不错的安全设计参考资料? 安全设计要求怎么做才能落地? 有哪些威胁建模方法论? 如何选择开源组件安全扫描(SCA)工具? SCA工具扫描出很多漏洞,如何处理? SCA工具识别出高风险协议,如何处理? 应该如何选型代码安全扫描工具? 白盒检测工具存在局限性,如何进行补偿? SCA用什么系统做,自研还是外购? Sonar是否好用以及误报率咋样? 如何推进有问题的jar包更新? SCA工具的误报率怎样? 在研发安全流程落地方面,有何经验? 如何说服业务完成checklist自检? sdl会对项目变更代码做review吗? 如何展示SDL的成果或效果? 怎么解决源代码两张皮导致安全失效? 开发安全培训是否有效? 安全组件如何在SDL中落地? 如何安全管理研发提交代码到GitHub进行开源? 安全组件(SDK)能够否覆盖Owasp Top 10? SDL 46/100问:SDL建设是难中难,该如何做? 2、SDL创新实践系列 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点

SDL 45/100问:安全组件(SDK)能够否覆盖Owasp Top 10?(link is external)

我的安全视界观
3 months 4 weeks ago
仅从回答问题的角度来说,安全SDK肯定不能覆盖全owasp top 10(当前还是2021版),因为在这个列表中涉及到的安全问题范围比较广,比如: 1、不安全的设计、使用自带缺陷和过时的组件(属于设计阶段该考虑的问题); 2、安全配置错误、安全日志和监控故障,也与安全SDK无直接关系。 回归到这个问题本质,安全SDK能够解决的应该是常见web漏洞,如owasp top 10中的注入类、SSRF,之外的如文件上传、反序列化等。 经过一些实践之后,发现比较好的方式还是在开发框架层面做安全,因为现在的框架提供越来越多的安全功能,正确使用就能解决很多漏洞,所以安全团队的关注点也可以放到安全的开发框架及引导开发正确使用。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 设计阶段应开展哪些安全活动? 有哪些不错的安全设计参考资料? 安全设计要求怎么做才能落地? 有哪些威胁建模方法论? 如何选择开源组件安全扫描(SCA)工具? SCA工具扫描出很多漏洞,如何处理? SCA工具识别出高风险协议,如何处理? 应该如何选型代码安全扫描工具? 白盒检测工具存在局限性,如何进行补偿? SCA用什么系统做,自研还是外购? 有没有好用的SDL平台? Sonar是否好用以及误报率咋样? 如何推进有问题的jar包更新? SCA工具的误报率怎样? 在研发安全流程落地方面,有何经验? 如何说服业务完成checklist自检? sdl会对项目变更代码做review吗? 如何展示SDL的成果或效果? 怎么解决源代码两张皮导致安全失效? 开发安全培训是否有效? 安全组件如何在SDL中落地? SDL 44/100问:如何安全管理研发提交代码到GitHub进行开源? 2、SDL创新实践系列 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点

SDL 45/100问:安全组件(SDK)能够否覆盖Owasp Top 10?(link is external)

我的安全视界观
3 months 4 weeks ago
仅从回答问题的角度来说,安全SDK肯定不能覆盖全owasp top 10(当前还是2021版),因为在这个列表中涉及到的安全问题范围比较广,比如: 1、不安全的设计、使用自带缺陷和过时的组件(属于设计阶段该考虑的问题); 2、安全配置错误、安全日志和监控故障,也与安全SDK无直接关系。 回归到这个问题本质,安全SDK能够解决的应该是常见web漏洞,如owasp top 10中的注入类、SSRF,之外的如文件上传、反序列化等。 经过一些实践之后,发现比较好的方式还是在开发框架层面做安全,因为现在的框架提供越来越多的安全功能,正确使用就能解决很多漏洞,所以安全团队的关注点也可以放到安全的开发框架及引导开发正确使用。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 设计阶段应开展哪些安全活动? 有哪些不错的安全设计参考资料? 安全设计要求怎么做才能落地? 有哪些威胁建模方法论? 如何选择开源组件安全扫描(SCA)工具? SCA工具扫描出很多漏洞,如何处理? SCA工具识别出高风险协议,如何处理? 应该如何选型代码安全扫描工具? 白盒检测工具存在局限性,如何进行补偿? SCA用什么系统做,自研还是外购? 有没有好用的SDL平台? Sonar是否好用以及误报率咋样? 如何推进有问题的jar包更新? SCA工具的误报率怎样? 在研发安全流程落地方面,有何经验? 如何说服业务完成checklist自检? sdl会对项目变更代码做review吗? 如何展示SDL的成果或效果? 怎么解决源代码两张皮导致安全失效? 开发安全培训是否有效? 安全组件如何在SDL中落地? SDL 44/100问:如何安全管理研发提交代码到GitHub进行开源? 2、SDL创新实践系列 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点

SDL 44/100问:如何安全管理研发提交代码到GitHub进行开源?(link is external)

我的安全视界观
4 months ago
这个问题容易与另一个混淆:github信息泄露监测,从权责角度来看,这是安全人员的管理职责。然而标题所述,应该把安全人员定位为参与者比较合适。 对外开源项目可能是为了提升团队/个人影响力、遵循开源社区协议...等各种原因,综合来看算是一个合理的需求,但是需要注意数据资产安全性,比如:是否是核心代码,是否报备公司并取得同意,代码中是否含有公司相关的敏感信息? 针对前两个问题,公司应该设置配置管理团队或技术委员会,对公司代码进行管理和使用审批,安全作为其中一环对要开源的项目进行敏感信息检测,各层检测/审批通过后方可对外开源。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 设计阶段应开展哪些安全活动? 有哪些不错的安全设计参考资料? 安全设计要求怎么做才能落地? 有哪些威胁建模方法论? 如何选择开源组件安全扫描(SCA)工具? SCA工具扫描出很多漏洞,如何处理? SCA工具识别出高风险协议,如何处理? 应该如何选型代码安全扫描工具? 白盒检测工具存在局限性,如何进行补偿? SCA用什么系统做,自研还是外购? 有没有好用的SDL平台? Sonar是否好用以及误报率咋样? 如何推进有问题的jar包更新? SCA工具的误报率怎样? 在研发安全流程落地方面,有何经验? 如何说服业务完成checklist自检? sdl会对项目变更代码做review吗? 如何展示SDL的成果或效果? 怎么解决源代码两张皮导致安全失效? 开发安全培训是否有效? SDL 43/100问:安全组件如何在SDL中落地? 2、SDL创新实践系列 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点

SDL 44/100问:如何安全管理研发提交代码到GitHub进行开源?(link is external)

我的安全视界观
4 months ago
这个问题容易与另一个混淆:github信息泄露监测,从权责角度来看,这是安全人员的管理职责。然而标题所述,应该把安全人员定位为参与者比较合适。 对外开源项目可能是为了提升团队/个人影响力、遵循开源社区协议...等各种原因,综合来看算是一个合理的需求,但是需要注意数据资产安全性,比如:是否是核心代码,是否报备公司并取得同意,代码中是否含有公司相关的敏感信息? 针对前两个问题,公司应该设置配置管理团队或技术委员会,对公司代码进行管理和使用审批,安全作为其中一环对要开源的项目进行敏感信息检测,各层检测/审批通过后方可对外开源。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 设计阶段应开展哪些安全活动? 有哪些不错的安全设计参考资料? 安全设计要求怎么做才能落地? 有哪些威胁建模方法论? 如何选择开源组件安全扫描(SCA)工具? SCA工具扫描出很多漏洞,如何处理? SCA工具识别出高风险协议,如何处理? 应该如何选型代码安全扫描工具? 白盒检测工具存在局限性,如何进行补偿? SCA用什么系统做,自研还是外购? 有没有好用的SDL平台? Sonar是否好用以及误报率咋样? 如何推进有问题的jar包更新? SCA工具的误报率怎样? 在研发安全流程落地方面,有何经验? 如何说服业务完成checklist自检? sdl会对项目变更代码做review吗? 如何展示SDL的成果或效果? 怎么解决源代码两张皮导致安全失效? 开发安全培训是否有效? SDL 43/100问:安全组件如何在SDL中落地? 2、SDL创新实践系列 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点

SDL 42/100问:如何说服业务部门老板做SDL?(link is external)

我的安全视界观
4 months ago
SDL是一个体系化的大工程,需要业务方增加人员投入进行配合,很可能影响业务系统发布节奏,所以会遇到不少阻力。 不过从为“业务保驾护航,安全服务业务”的切入点出发,保持“结合实际定制,轻柔融入”的原则,会增大成功的概率。在推进时可以: 1、找案例:纵观行业,介绍在SDL方面做得好的公司以及取得的成效; 2、讲好处:可以获得及早发现安全风险、满足法规要求、全面提高产品安全性、增强客户信任等收益; 3、先试点:找重视安全有意愿的、安全问题比较多的业务开始小范围推进,最开始可以是1个业务跑通流程、持续优化; 4、再全面:有了小范围的试点之后,以此为先进代表、在公司公开晒取得的成果,产生一定影响力,与此同时可以直接将SDL写成安全规范,然后在全公司推广。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 设计阶段应开展哪些安全活动? 有哪些不错的安全设计参考资料? 安全设计要求怎么做才能落地? 有哪些威胁建模方法论? 如何选择开源组件安全扫描(SCA)工具? SCA工具扫描出很多漏洞,如何处理? SCA工具识别出高风险协议,如何处理? 应该如何选型代码安全扫描工具? 白盒检测工具存在局限性,如何进行补偿? SCA用什么系统做,自研还是外购? 有没有好用的SDL平台? Sonar是否好用以及误报率咋样? 如何推进有问题的jar包更新? SCA工具的误报率怎样? 在研发安全流程落地方面,有何经验? 如何说服业务完成checklist自检? sdl会对项目变更代码做review吗? 如何展示SDL的成果或效果? 怎么解决源代码两张皮导致安全失效? 2、SDL创新实践系列 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点

SDL 42/100问:如何说服业务部门老板做SDL?(link is external)

我的安全视界观
4 months ago
SDL是一个体系化的大工程,需要业务方增加人员投入进行配合,很可能影响业务系统发布节奏,所以会遇到不少阻力。 不过从为“业务保驾护航,安全服务业务”的切入点出发,保持“结合实际定制,轻柔融入”的原则,会增大成功的概率。在推进时可以: 1、找案例:纵观行业,介绍在SDL方面做得好的公司以及取得的成效; 2、讲好处:可以获得及早发现安全风险、满足法规要求、全面提高产品安全性、增强客户信任等收益; 3、先试点:找重视安全有意愿的、安全问题比较多的业务开始小范围推进,最开始可以是1个业务跑通流程、持续优化; 4、再全面:有了小范围的试点之后,以此为先进代表、在公司公开晒取得的成果,产生一定影响力,与此同时可以直接将SDL写成安全规范,然后在全公司推广。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 设计阶段应开展哪些安全活动? 有哪些不错的安全设计参考资料? 安全设计要求怎么做才能落地? 有哪些威胁建模方法论? 如何选择开源组件安全扫描(SCA)工具? SCA工具扫描出很多漏洞,如何处理? SCA工具识别出高风险协议,如何处理? 应该如何选型代码安全扫描工具? 白盒检测工具存在局限性,如何进行补偿? SCA用什么系统做,自研还是外购? 有没有好用的SDL平台? Sonar是否好用以及误报率咋样? 如何推进有问题的jar包更新? SCA工具的误报率怎样? 在研发安全流程落地方面,有何经验? 如何说服业务完成checklist自检? sdl会对项目变更代码做review吗? 如何展示SDL的成果或效果? 怎么解决源代码两张皮导致安全失效? 2、SDL创新实践系列 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点

SDL 41/100问:开发安全培训是否有效?(link is external)

我的安全视界观
4 months ago
开发安全培训,此处主要是指给业务团队进行安全意识与安全技能的培训,如:安全规范培训、安全需求培训、安全工具培训、编码安全培训等,是SDL中很重要的一环。如果直接回答提问的话,答案肯定是Yes。 但对于“有效”的理解,不应该是达到100%的效果,比如组织编码安全培训后,不能期望开发时就不会引入漏洞,而是在开发时有意识思考有没有安全风险、弄不清楚的知道联系安全团队咨询、引入安全组件等。我想这是比较有效又合理的结果,不过要做到这程度并非易事,可以从三方面做努力: 1、培训的连续性,做到常态化、线上化; 2、培训得有考核,组织参与的人员/部门考试,排名并公布; 3、培训有针对性,针对研发人员、运维人员、产品经理做不同的内容设计。 此外曾经做过一次尝试,“把产生问题的人干掉”。即:年底,组织各业务写漏洞top排名的开发人员进行针对性学习及考试,惊喜的发现有不少人考了很多遍,有个研发刷了20+次直到拿到100分。 更多软件安全内容,可以访问: 1、SDL100问:我与SDL的故事 SAST误报太高,如何解决? SDL需要哪些人参与? 设计阶段应开展哪些安全活动? 有哪些不错的安全设计参考资料? 安全设计要求怎么做才能落地? 有哪些威胁建模方法论? 如何选择开源组件安全扫描(SCA)工具? SCA工具扫描出很多漏洞,如何处理? SCA工具识别出高风险协议,如何处理? 应该如何选型代码安全扫描工具? 白盒检测工具存在局限性,如何进行补偿? SCA用什么系统做,自研还是外购? 有没有好用的SDL平台? Sonar是否好用以及误报率咋样? 如何推进有问题的jar包更新? SCA工具的误报率怎样? 在研发安全流程落地方面,有何经验? 如何说服业务完成checklist自检? sdl会对项目变更代码做review吗? 如何展示SDL的成果或效果? SDL 40/100问:怎么解决源代码两张皮导致安全失效? 2、SDL创新实践系列 首发!“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键:研发安全团队 DevSecOps实施关键:研发安全流程 DevSecOps实施关键:研发安全规范 从安全视角,看研发安全 数字化转型下的研发安全痛点
Checked
6 hours 18 minutes ago
我的安全视界观
大大的世界,小小的人儿;喜欢夜的黑,更爱昼的白。因为热爱安全,所以想起该做些什么了?!公众号主要将不定期分享个人所见所闻所感,包括但不限于:安全测试、漏洞赏析、渗透技巧、企业安全 (wechat feed made by @ttttmr https://wechat2rss.xlab.app)
URL
https://wechat2rss.xlab.app/feed/956e0bcbfd7dc0ca5274a3489bd2cc03cda26907.xml(link is external)
我的安全视界观 feed

Managed ad