我的安全视界观

SDL 54/100问：如何看待安全提测看板这一需求?

我的安全视界观

7 months 4 weeks ago

关于问题的产生场景，是发生在SDL建设比较重的状态下。对于重的最简单理解就是：每个工单均需要做人工安全测试，并设置卡点，通过之后才允许上线。此时就会出现：业务方提交安全测试后，工单积压排队的情况。一方面是研发安全团队人员有限、加紧测试，另一方面是业务方需要知道安全测试排队情况，于是就产生了该需求。对于SDL安全建设来说，这是个“中间态”。若这种状态长期下去，不利研发安全团队发展（疲于工单测试产生厌倦）、不利于业务方支撑（安全提测总拖后腿），急需要做出改变： 1、不要恋战人工测试：对待测系统进行分级，不要对每个系统每次发版都人工测试，对同一系统测试多次后也会出现思路短缺； 2、寻找其他措施兜底：建立完善的安全检测攻击链（黑白灰盒安全测试），引入红蓝渗透、SRC等机制补充人工测试能力覆盖不足，才能放做到有的放矢。只有在充分弄清楚人工安全测试的作用后，方可做出科学有效的SDL机制调整。更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？设计阶段应开展哪些安全活动？如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？应该如何选型代码安全扫描工具？如何推进有问题的jar包更新？ SCA工具的误报率怎样？如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？怎么解决源代码两张皮导致安全失效？开发安全培训是否有效？安全组件如何在SDL中落地？如何安全管理研发提交代码到GitHub进行开源？安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？如何定位及落地威胁建模？关于安全测试标准化的讨论？ SDL是否适合互联网公司？有什么SDL相关的评价体系？如何引导业务方进行自助式安全扫描？前端修复bug需要进行SAST扫描吗？ SDL 53/100问：在DevOps中用到哪些自动化的安全工具？ 2、SDL创新实践系列首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范从安全视角，看研发安全数字化转型下的研发安全痛点

SDL 54/100问：如何看待安全提测看板这一需求?

我的安全视界观

7 months 4 weeks ago

关于问题的产生场景，是发生在SDL建设比较重的状态下。对于重的最简单理解就是：每个工单均需要做人工安全测试，并设置卡点，通过之后才允许上线。此时就会出现：业务方提交安全测试后，工单积压排队的情况。一方面是研发安全团队人员有限、加紧测试，另一方面是业务方需要知道安全测试排队情况，于是就产生了该需求。对于SDL安全建设来说，这是个“中间态”。若这种状态长期下去，不利研发安全团队发展（疲于工单测试产生厌倦）、不利于业务方支撑（安全提测总拖后腿），急需要做出改变： 1、不要恋战人工测试：对待测系统进行分级，不要对每个系统每次发版都人工测试，对同一系统测试多次后也会出现思路短缺； 2、寻找其他措施兜底：建立完善的安全检测攻击链（黑白灰盒安全测试），引入红蓝渗透、SRC等机制补充人工测试能力覆盖不足，才能放做到有的放矢。只有在充分弄清楚人工安全测试的作用后，方可做出科学有效的SDL机制调整。更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？设计阶段应开展哪些安全活动？如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？应该如何选型代码安全扫描工具？如何推进有问题的jar包更新？ SCA工具的误报率怎样？如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？怎么解决源代码两张皮导致安全失效？开发安全培训是否有效？安全组件如何在SDL中落地？如何安全管理研发提交代码到GitHub进行开源？安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？如何定位及落地威胁建模？关于安全测试标准化的讨论？ SDL是否适合互联网公司？有什么SDL相关的评价体系？如何引导业务方进行自助式安全扫描？前端修复bug需要进行SAST扫描吗？ SDL 53/100问：在DevOps中用到哪些自动化的安全工具？ 2、SDL创新实践系列首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范从安全视角，看研发安全数字化转型下的研发安全痛点

SDL 53/100问：在DevOps中用到哪些自动化的安全工具？

我的安全视界观

8 months ago

在DevOps中，安全工具链包括威胁建模工具、静态安全检测（SAST、SCA）、动态安全检测（各类DAST）、交互式安全检测（IAST）、及运行时应用自我保护（很多说法将RASP算进来）、甚至waf等。在自动化方面，除了威胁建模工具不能提供API外，其他安全工具都可以，即均可触发实现自动化扫描。此外，提供以下实践之后的建议： 1、最好是异步扫描：安全工具执行任务所需的时间长，直接串入会影响流水线的速度； 2、扫描结果有误报：设置安全门禁时需要有所甄别，需要人工介入或检测规则做精细； 3、依赖于研发工具：需要通过研发工具触发，比如gitlab的push触发静态扫描、构建时触发容器扫描和IAST插桩扫描。更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？设计阶段应开展哪些安全活动？如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？应该如何选型代码安全扫描工具？如何推进有问题的jar包更新？ SCA工具的误报率怎样？如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？怎么解决源代码两张皮导致安全失效？开发安全培训是否有效？安全组件如何在SDL中落地？如何安全管理研发提交代码到GitHub进行开源？安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？如何定位及落地威胁建模？关于安全测试标准化的讨论？ SDL是否适合互联网公司？有什么SDL相关的评价体系？如何引导业务方进行自助式安全扫描？ SDL 52/100问：前端修复bug需要进行SAST扫描吗？ 2、SDL创新实践系列首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范从安全视角，看研发安全数字化转型下的研发安全痛点

SDL 53/100问：在DevOps中用到哪些自动化的安全工具？

我的安全视界观

8 months ago

在DevOps中，安全工具链包括威胁建模工具、静态安全检测（SAST、SCA）、动态安全检测（各类DAST）、交互式安全检测（IAST）、及运行时应用自我保护（很多说法将RASP算进来）、甚至waf等。在自动化方面，除了威胁建模工具不能提供API外，其他安全工具都可以，即均可触发实现自动化扫描。此外，提供以下实践之后的建议： 1、最好是异步扫描：安全工具执行任务所需的时间长，直接串入会影响流水线的速度； 2、扫描结果有误报：设置安全门禁时需要有所甄别，需要人工介入或检测规则做精细； 3、依赖于研发工具：需要通过研发工具触发，比如gitlab的push触发静态扫描、构建时触发容器扫描和IAST插桩扫描。更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？设计阶段应开展哪些安全活动？如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？应该如何选型代码安全扫描工具？如何推进有问题的jar包更新？ SCA工具的误报率怎样？如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？怎么解决源代码两张皮导致安全失效？开发安全培训是否有效？安全组件如何在SDL中落地？如何安全管理研发提交代码到GitHub进行开源？安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？如何定位及落地威胁建模？关于安全测试标准化的讨论？ SDL是否适合互联网公司？有什么SDL相关的评价体系？如何引导业务方进行自助式安全扫描？ SDL 52/100问：前端修复bug需要进行SAST扫描吗？ 2、SDL创新实践系列首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范从安全视角，看研发安全数字化转型下的研发安全痛点

SDL 53/100问：在DevOps中用到哪些自动化的安全工具？

我的安全视界观

8 months ago

在DevOps中，安全工具链包括威胁建模工具、静态安全检测（SAST、SCA）、动态安全检测（各类DAST）、交互式安全检测（IAST）、及运行时应用自我保护（很多说法将RASP算进来）、甚至waf等。在自动化方面，除了威胁建模工具不能提供API外，其他安全工具都可以，即均可触发实现自动化扫描。此外，提供以下实践之后的建议： 1、最好是异步扫描：安全工具执行任务所需的时间长，直接串入会影响流水线的速度； 2、扫描结果有误报：设置安全门禁时需要有所甄别，需要人工介入或检测规则做精细； 3、依赖于研发工具：需要通过研发工具触发，比如gitlab的push触发静态扫描、构建时触发容器扫描和IAST插桩扫描。更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？设计阶段应开展哪些安全活动？如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？应该如何选型代码安全扫描工具？如何推进有问题的jar包更新？ SCA工具的误报率怎样？如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？怎么解决源代码两张皮导致安全失效？开发安全培训是否有效？安全组件如何在SDL中落地？如何安全管理研发提交代码到GitHub进行开源？安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？如何定位及落地威胁建模？关于安全测试标准化的讨论？ SDL是否适合互联网公司？有什么SDL相关的评价体系？如何引导业务方进行自助式安全扫描？ SDL 52/100问：前端修复bug需要进行SAST扫描吗？ 2、SDL创新实践系列首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范从安全视角，看研发安全数字化转型下的研发安全痛点

SDL 53/100问：在DevOps中用到哪些自动化的安全工具？

我的安全视界观

8 months ago

在DevOps中，安全工具链包括威胁建模工具、静态安全检测（SAST、SCA）、动态安全检测（各类DAST）、交互式安全检测（IAST）、及运行时应用自我保护（很多说法将RASP算进来）、甚至waf等。在自动化方面，除了威胁建模工具不能提供API外，其他安全工具都可以，即均可触发实现自动化扫描。此外，提供以下实践之后的建议： 1、最好是异步扫描：安全工具执行任务所需的时间长，直接串入会影响流水线的速度； 2、扫描结果有误报：设置安全门禁时需要有所甄别，需要人工介入或检测规则做精细； 3、依赖于研发工具：需要通过研发工具触发，比如gitlab的push触发静态扫描、构建时触发容器扫描和IAST插桩扫描。更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？设计阶段应开展哪些安全活动？如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？应该如何选型代码安全扫描工具？如何推进有问题的jar包更新？ SCA工具的误报率怎样？如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？怎么解决源代码两张皮导致安全失效？开发安全培训是否有效？安全组件如何在SDL中落地？如何安全管理研发提交代码到GitHub进行开源？安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？如何定位及落地威胁建模？关于安全测试标准化的讨论？ SDL是否适合互联网公司？有什么SDL相关的评价体系？如何引导业务方进行自助式安全扫描？ SDL 52/100问：前端修复bug需要进行SAST扫描吗？ 2、SDL创新实践系列首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范从安全视角，看研发安全数字化转型下的研发安全痛点

SDL 53/100问：在DevOps中用到哪些自动化的安全工具？

我的安全视界观

8 months ago

在DevOps中，安全工具链包括威胁建模工具、静态安全检测（SAST、SCA）、动态安全检测（各类DAST）、交互式安全检测（IAST）、及运行时应用自我保护（很多说法将RASP算进来）、甚至waf等。在自动化方面，除了威胁建模工具不能提供API外，其他安全工具都可以，即均可触发实现自动化扫描。此外，提供以下实践之后的建议： 1、最好是异步扫描：安全工具执行任务所需的时间长，直接串入会影响流水线的速度； 2、扫描结果有误报：设置安全门禁时需要有所甄别，需要人工介入或检测规则做精细； 3、依赖于研发工具：需要通过研发工具触发，比如gitlab的push触发静态扫描、构建时触发容器扫描和IAST插桩扫描。更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？设计阶段应开展哪些安全活动？如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？应该如何选型代码安全扫描工具？如何推进有问题的jar包更新？ SCA工具的误报率怎样？如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？怎么解决源代码两张皮导致安全失效？开发安全培训是否有效？安全组件如何在SDL中落地？如何安全管理研发提交代码到GitHub进行开源？安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？如何定位及落地威胁建模？关于安全测试标准化的讨论？ SDL是否适合互联网公司？有什么SDL相关的评价体系？如何引导业务方进行自助式安全扫描？ SDL 52/100问：前端修复bug需要进行SAST扫描吗？ 2、SDL创新实践系列首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范从安全视角，看研发安全数字化转型下的研发安全痛点

SDL 53/100问：在DevOps中用到哪些自动化的安全工具？

我的安全视界观

8 months ago

在DevOps中，安全工具链包括威胁建模工具、静态安全检测（SAST、SCA）、动态安全检测（各类DAST）、交互式安全检测（IAST）、及运行时应用自我保护（很多说法将RASP算进来）、甚至waf等。在自动化方面，除了威胁建模工具不能提供API外，其他安全工具都可以，即均可触发实现自动化扫描。此外，提供以下实践之后的建议： 1、最好是异步扫描：安全工具执行任务所需的时间长，直接串入会影响流水线的速度； 2、扫描结果有误报：设置安全门禁时需要有所甄别，需要人工介入或检测规则做精细； 3、依赖于研发工具：需要通过研发工具触发，比如gitlab的push触发静态扫描、构建时触发容器扫描和IAST插桩扫描。更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？设计阶段应开展哪些安全活动？如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？应该如何选型代码安全扫描工具？如何推进有问题的jar包更新？ SCA工具的误报率怎样？如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？怎么解决源代码两张皮导致安全失效？开发安全培训是否有效？安全组件如何在SDL中落地？如何安全管理研发提交代码到GitHub进行开源？安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？如何定位及落地威胁建模？关于安全测试标准化的讨论？ SDL是否适合互联网公司？有什么SDL相关的评价体系？如何引导业务方进行自助式安全扫描？ SDL 52/100问：前端修复bug需要进行SAST扫描吗？ 2、SDL创新实践系列首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范从安全视角，看研发安全数字化转型下的研发安全痛点

SDL 53/100问：在DevOps中用到哪些自动化的安全工具？

我的安全视界观

8 months ago

在DevOps中，安全工具链包括威胁建模工具、静态安全检测（SAST、SCA）、动态安全检测（各类DAST）、交互式安全检测（IAST）、及运行时应用自我保护（很多说法将RASP算进来）、甚至waf等。在自动化方面，除了威胁建模工具不能提供API外，其他安全工具都可以，即均可触发实现自动化扫描。此外，提供以下实践之后的建议： 1、最好是异步扫描：安全工具执行任务所需的时间长，直接串入会影响流水线的速度； 2、扫描结果有误报：设置安全门禁时需要有所甄别，需要人工介入或检测规则做精细； 3、依赖于研发工具：需要通过研发工具触发，比如gitlab的push触发静态扫描、构建时触发容器扫描和IAST插桩扫描。更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？设计阶段应开展哪些安全活动？如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？应该如何选型代码安全扫描工具？如何推进有问题的jar包更新？ SCA工具的误报率怎样？如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？怎么解决源代码两张皮导致安全失效？开发安全培训是否有效？安全组件如何在SDL中落地？如何安全管理研发提交代码到GitHub进行开源？安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？如何定位及落地威胁建模？关于安全测试标准化的讨论？ SDL是否适合互联网公司？有什么SDL相关的评价体系？如何引导业务方进行自助式安全扫描？ SDL 52/100问：前端修复bug需要进行SAST扫描吗？ 2、SDL创新实践系列首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范从安全视角，看研发安全数字化转型下的研发安全痛点

SDL 53/100问：在DevOps中用到哪些自动化的安全工具？

我的安全视界观

8 months ago

在DevOps中，安全工具链包括威胁建模工具、静态安全检测（SAST、SCA）、动态安全检测（各类DAST）、交互式安全检测（IAST）、及运行时应用自我保护（很多说法将RASP算进来）、甚至waf等。在自动化方面，除了威胁建模工具不能提供API外，其他安全工具都可以，即均可触发实现自动化扫描。此外，提供以下实践之后的建议： 1、最好是异步扫描：安全工具执行任务所需的时间长，直接串入会影响流水线的速度； 2、扫描结果有误报：设置安全门禁时需要有所甄别，需要人工介入或检测规则做精细； 3、依赖于研发工具：需要通过研发工具触发，比如gitlab的push触发静态扫描、构建时触发容器扫描和IAST插桩扫描。更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？设计阶段应开展哪些安全活动？如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？应该如何选型代码安全扫描工具？如何推进有问题的jar包更新？ SCA工具的误报率怎样？如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？怎么解决源代码两张皮导致安全失效？开发安全培训是否有效？安全组件如何在SDL中落地？如何安全管理研发提交代码到GitHub进行开源？安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？如何定位及落地威胁建模？关于安全测试标准化的讨论？ SDL是否适合互联网公司？有什么SDL相关的评价体系？如何引导业务方进行自助式安全扫描？ SDL 52/100问：前端修复bug需要进行SAST扫描吗？ 2、SDL创新实践系列首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范从安全视角，看研发安全数字化转型下的研发安全痛点

SDL 52/100问：前端修复bug需要进行SAST扫描吗？

我的安全视界观

8 months ago

从严谨的角度出发，凡是涉及到代码变动，在上线前都应该进行SAST（静态代码）扫描。因为前端也会有一些常见的可利用web漏洞，比如XSS、CSRF、敏感信息泄露等，不过不太好在SAST中全面检测。但在实践SDL过程中，应该要观其成熟度而定，比如设计了代码变更触发自动扫描、且具备扫描前端漏洞的检测能力和性能，那就可以扫描；若是在建设初期，则应先关注后端代码的高危漏洞扫描。 PS：记得很久之前使用fortify扫描js，对性能消耗极大、影响了其他扫描任务，后来就直接忽略js文件了。更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？设计阶段应开展哪些安全活动？如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？应该如何选型代码安全扫描工具？如何推进有问题的jar包更新？ SCA工具的误报率怎样？如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？怎么解决源代码两张皮导致安全失效？开发安全培训是否有效？安全组件如何在SDL中落地？如何安全管理研发提交代码到GitHub进行开源？安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？如何定位及落地威胁建模？关于安全测试标准化的讨论？ SDL是否适合互联网公司？有什么SDL相关的评价体系？ SDL 51/100问：如何引导业务方进行自助式安全扫描？ 2、SDL创新实践系列首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范从安全视角，看研发安全数字化转型下的研发安全痛点

SDL 52/100问：前端修复bug需要进行SAST扫描吗？

我的安全视界观

8 months ago

从严谨的角度出发，凡是涉及到代码变动，在上线前都应该进行SAST（静态代码）扫描。因为前端也会有一些常见的可利用web漏洞，比如XSS、CSRF、敏感信息泄露等，不过不太好在SAST中全面检测。但在实践SDL过程中，应该要观其成熟度而定，比如设计了代码变更触发自动扫描、且具备扫描前端漏洞的检测能力和性能，那就可以扫描；若是在建设初期，则应先关注后端代码的高危漏洞扫描。 PS：记得很久之前使用fortify扫描js，对性能消耗极大、影响了其他扫描任务，后来就直接忽略js文件了。更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？设计阶段应开展哪些安全活动？如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？应该如何选型代码安全扫描工具？如何推进有问题的jar包更新？ SCA工具的误报率怎样？如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？怎么解决源代码两张皮导致安全失效？开发安全培训是否有效？安全组件如何在SDL中落地？如何安全管理研发提交代码到GitHub进行开源？安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？如何定位及落地威胁建模？关于安全测试标准化的讨论？ SDL是否适合互联网公司？有什么SDL相关的评价体系？ SDL 51/100问：如何引导业务方进行自助式安全扫描？ 2、SDL创新实践系列首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范从安全视角，看研发安全数字化转型下的研发安全痛点

SDL 52/100问：前端修复bug需要进行SAST扫描吗？

我的安全视界观

8 months ago

从严谨的角度出发，凡是涉及到代码变动，在上线前都应该进行SAST（静态代码）扫描。因为前端也会有一些常见的可利用web漏洞，比如XSS、CSRF、敏感信息泄露等，不过不太好在SAST中全面检测。但在实践SDL过程中，应该要观其成熟度而定，比如设计了代码变更触发自动扫描、且具备扫描前端漏洞的检测能力和性能，那就可以扫描；若是在建设初期，则应先关注后端代码的高危漏洞扫描。 PS：记得很久之前使用fortify扫描js，对性能消耗极大、影响了其他扫描任务，后来就直接忽略js文件了。更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？设计阶段应开展哪些安全活动？如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？应该如何选型代码安全扫描工具？如何推进有问题的jar包更新？ SCA工具的误报率怎样？如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？怎么解决源代码两张皮导致安全失效？开发安全培训是否有效？安全组件如何在SDL中落地？如何安全管理研发提交代码到GitHub进行开源？安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？如何定位及落地威胁建模？关于安全测试标准化的讨论？ SDL是否适合互联网公司？有什么SDL相关的评价体系？ SDL 51/100问：如何引导业务方进行自助式安全扫描？ 2、SDL创新实践系列首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范从安全视角，看研发安全数字化转型下的研发安全痛点

SDL 52/100问：前端修复bug需要进行SAST扫描吗？

我的安全视界观

8 months ago

从严谨的角度出发，凡是涉及到代码变动，在上线前都应该进行SAST（静态代码）扫描。因为前端也会有一些常见的可利用web漏洞，比如XSS、CSRF、敏感信息泄露等，不过不太好在SAST中全面检测。但在实践SDL过程中，应该要观其成熟度而定，比如设计了代码变更触发自动扫描、且具备扫描前端漏洞的检测能力和性能，那就可以扫描；若是在建设初期，则应先关注后端代码的高危漏洞扫描。 PS：记得很久之前使用fortify扫描js，对性能消耗极大、影响了其他扫描任务，后来就直接忽略js文件了。更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？设计阶段应开展哪些安全活动？如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？应该如何选型代码安全扫描工具？如何推进有问题的jar包更新？ SCA工具的误报率怎样？如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？怎么解决源代码两张皮导致安全失效？开发安全培训是否有效？安全组件如何在SDL中落地？如何安全管理研发提交代码到GitHub进行开源？安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？如何定位及落地威胁建模？关于安全测试标准化的讨论？ SDL是否适合互联网公司？有什么SDL相关的评价体系？ SDL 51/100问：如何引导业务方进行自助式安全扫描？ 2、SDL创新实践系列首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范从安全视角，看研发安全数字化转型下的研发安全痛点

SDL 52/100问：前端修复bug需要进行SAST扫描吗？

我的安全视界观

8 months ago

从严谨的角度出发，凡是涉及到代码变动，在上线前都应该进行SAST（静态代码）扫描。因为前端也会有一些常见的可利用web漏洞，比如XSS、CSRF、敏感信息泄露等，不过不太好在SAST中全面检测。但在实践SDL过程中，应该要观其成熟度而定，比如设计了代码变更触发自动扫描、且具备扫描前端漏洞的检测能力和性能，那就可以扫描；若是在建设初期，则应先关注后端代码的高危漏洞扫描。 PS：记得很久之前使用fortify扫描js，对性能消耗极大、影响了其他扫描任务，后来就直接忽略js文件了。更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？设计阶段应开展哪些安全活动？如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？应该如何选型代码安全扫描工具？如何推进有问题的jar包更新？ SCA工具的误报率怎样？如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？怎么解决源代码两张皮导致安全失效？开发安全培训是否有效？安全组件如何在SDL中落地？如何安全管理研发提交代码到GitHub进行开源？安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？如何定位及落地威胁建模？关于安全测试标准化的讨论？ SDL是否适合互联网公司？有什么SDL相关的评价体系？ SDL 51/100问：如何引导业务方进行自助式安全扫描？ 2、SDL创新实践系列首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范从安全视角，看研发安全数字化转型下的研发安全痛点

SDL 52/100问：前端修复bug需要进行SAST扫描吗？

我的安全视界观

8 months ago

从严谨的角度出发，凡是涉及到代码变动，在上线前都应该进行SAST（静态代码）扫描。因为前端也会有一些常见的可利用web漏洞，比如XSS、CSRF、敏感信息泄露等，不过不太好在SAST中全面检测。但在实践SDL过程中，应该要观其成熟度而定，比如设计了代码变更触发自动扫描、且具备扫描前端漏洞的检测能力和性能，那就可以扫描；若是在建设初期，则应先关注后端代码的高危漏洞扫描。 PS：记得很久之前使用fortify扫描js，对性能消耗极大、影响了其他扫描任务，后来就直接忽略js文件了。更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？设计阶段应开展哪些安全活动？如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？应该如何选型代码安全扫描工具？如何推进有问题的jar包更新？ SCA工具的误报率怎样？如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？怎么解决源代码两张皮导致安全失效？开发安全培训是否有效？安全组件如何在SDL中落地？如何安全管理研发提交代码到GitHub进行开源？安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？如何定位及落地威胁建模？关于安全测试标准化的讨论？ SDL是否适合互联网公司？有什么SDL相关的评价体系？ SDL 51/100问：如何引导业务方进行自助式安全扫描？ 2、SDL创新实践系列首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范从安全视角，看研发安全数字化转型下的研发安全痛点

SDL 52/100问：前端修复bug需要进行SAST扫描吗？

我的安全视界观

8 months ago

从严谨的角度出发，凡是涉及到代码变动，在上线前都应该进行SAST（静态代码）扫描。因为前端也会有一些常见的可利用web漏洞，比如XSS、CSRF、敏感信息泄露等，不过不太好在SAST中全面检测。但在实践SDL过程中，应该要观其成熟度而定，比如设计了代码变更触发自动扫描、且具备扫描前端漏洞的检测能力和性能，那就可以扫描；若是在建设初期，则应先关注后端代码的高危漏洞扫描。 PS：记得很久之前使用fortify扫描js，对性能消耗极大、影响了其他扫描任务，后来就直接忽略js文件了。更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？设计阶段应开展哪些安全活动？如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？应该如何选型代码安全扫描工具？如何推进有问题的jar包更新？ SCA工具的误报率怎样？如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？怎么解决源代码两张皮导致安全失效？开发安全培训是否有效？安全组件如何在SDL中落地？如何安全管理研发提交代码到GitHub进行开源？安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？如何定位及落地威胁建模？关于安全测试标准化的讨论？ SDL是否适合互联网公司？有什么SDL相关的评价体系？ SDL 51/100问：如何引导业务方进行自助式安全扫描？ 2、SDL创新实践系列首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范从安全视角，看研发安全数字化转型下的研发安全痛点

SDL 51/100问：如何引导业务方进行自助式安全扫描？

我的安全视界观

8 months ago

为了说清楚问题，先介绍一下提出问题的背景：已经要求业务方进行安全测试，并且有较为完善的机制与流程保障其正常运转。但由于安全检测工具不全都“友好”的支持自动化接入研发流程，故而产生该问题。回到问题本身，建议从给业务方带来的好处来谈，安全检测工具如DAST（系统/web/容器）等能力开放给业务方，会对其带来更大的便利。比如： 1、有来自客户的安全需求时，要进行扫描并提交报告，此时不需要安全团队帮助、自己就能做； 2、在提交安全测试前，业务方先完成自检或将工具接入自己研发流程SOP（手动触发扫描也算），然后再送检，能够提升发版速度。随之而来的也会有一些麻烦，比如增大安全工具运营成本、扫描范围不可控等问题，不过都有解、且好处是大于坏处的，所以这事儿就值得持续干下去。更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？设计阶段应开展哪些安全活动？如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？应该如何选型代码安全扫描工具？如何推进有问题的jar包更新？ SCA工具的误报率怎样？如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？怎么解决源代码两张皮导致安全失效？开发安全培训是否有效？安全组件如何在SDL中落地？如何安全管理研发提交代码到GitHub进行开源？安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？如何定位及落地威胁建模？关于安全测试标准化的讨论？ SDL是否适合互联网公司？ SDL 50/100问：有什么SDL相关的评价体系？ 2、SDL创新实践系列首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范从安全视角，看研发安全数字化转型下的研发安全痛点

SDL 51/100问：如何引导业务方进行自助式安全扫描？

我的安全视界观

8 months ago

为了说清楚问题，先介绍一下提出问题的背景：已经要求业务方进行安全测试，并且有较为完善的机制与流程保障其正常运转。但由于安全检测工具不全都“友好”的支持自动化接入研发流程，故而产生该问题。回到问题本身，建议从给业务方带来的好处来谈，安全检测工具如DAST（系统/web/容器）等能力开放给业务方，会对其带来更大的便利。比如： 1、有来自客户的安全需求时，要进行扫描并提交报告，此时不需要安全团队帮助、自己就能做； 2、在提交安全测试前，业务方先完成自检或将工具接入自己研发流程SOP（手动触发扫描也算），然后再送检，能够提升发版速度。随之而来的也会有一些麻烦，比如增大安全工具运营成本、扫描范围不可控等问题，不过都有解、且好处是大于坏处的，所以这事儿就值得持续干下去。更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？设计阶段应开展哪些安全活动？如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？应该如何选型代码安全扫描工具？如何推进有问题的jar包更新？ SCA工具的误报率怎样？如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？怎么解决源代码两张皮导致安全失效？开发安全培训是否有效？安全组件如何在SDL中落地？如何安全管理研发提交代码到GitHub进行开源？安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？如何定位及落地威胁建模？关于安全测试标准化的讨论？ SDL是否适合互联网公司？ SDL 50/100问：有什么SDL相关的评价体系？ 2、SDL创新实践系列首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范从安全视角，看研发安全数字化转型下的研发安全痛点

SDL 51/100问：如何引导业务方进行自助式安全扫描？

我的安全视界观

8 months ago

为了说清楚问题，先介绍一下提出问题的背景：已经要求业务方进行安全测试，并且有较为完善的机制与流程保障其正常运转。但由于安全检测工具不全都“友好”的支持自动化接入研发流程，故而产生该问题。回到问题本身，建议从给业务方带来的好处来谈，安全检测工具如DAST（系统/web/容器）等能力开放给业务方，会对其带来更大的便利。比如： 1、有来自客户的安全需求时，要进行扫描并提交报告，此时不需要安全团队帮助、自己就能做； 2、在提交安全测试前，业务方先完成自检或将工具接入自己研发流程SOP（手动触发扫描也算），然后再送检，能够提升发版速度。随之而来的也会有一些麻烦，比如增大安全工具运营成本、扫描范围不可控等问题，不过都有解、且好处是大于坏处的，所以这事儿就值得持续干下去。更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？设计阶段应开展哪些安全活动？如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？应该如何选型代码安全扫描工具？如何推进有问题的jar包更新？ SCA工具的误报率怎样？如何说服业务完成checklist自检？ sdl会对项目变更代码做review吗？怎么解决源代码两张皮导致安全失效？开发安全培训是否有效？安全组件如何在SDL中落地？如何安全管理研发提交代码到GitHub进行开源？安全组件(SDK)能够否覆盖Owasp Top 10? SDL建设是难中难，该如何做？如何定位及落地威胁建模？关于安全测试标准化的讨论？ SDL是否适合互联网公司？ SDL 50/100问：有什么SDL相关的评价体系？ 2、SDL创新实践系列首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范从安全视角，看研发安全数字化转型下的研发安全痛点

Checked

2 hours 52 minutes ago

大大的世界，小小的人儿；喜欢夜的黑，更爱昼的白。因为热爱安全，所以想起该做些什么了？！公众号主要将不定期分享个人所见所闻所感，包括但不限于：安全测试、漏洞赏析、渗透技巧、企业安全 (wechat feed made by @ttttmr https://wechat2rss.xlab.app)

URL

https://wechat2rss.xlab.app/feed/956e0bcbfd7dc0ca5274a3489bd2cc03cda26907.xml

我的安全视界观 feed