我的安全视界观

常见的研发安全流程有：安全提测流程、漏洞修复流程、绿色通道上线流程等，这些流程的落地离不开现有研发流程及卡点。 1、先说研发流程，其实应该涉及产品的立项、需求评审、架构评审及上线前的审核等，安全的相关流程应该保持与研发流程一致； 2、再说安全卡点，一般设置在资源申请（内网应用系统如域名资源）、规则申请（外网应用系统如ACL映射），可以在这些关键节点上加上安全验收检查，以保证流程的落地应用。 安全流程的落地一定要尽可能轻量、柔和接入，还要保持处理效率。因此SDL做到最后，肯定是需要一个线上化的平台来处理流程在内的所有相关事情。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ 有没有好用的SDL平台？ Sonar是否好用以及误报率咋样？ 如何推进有问题的jar包更新？ SDL 35/100问：SCA工具的误报率怎样？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

如果从漏洞可以利用的角度出发，那误报率就是很高，因为这些CVE漏洞并不都能被利用、结合具体业务场景更不会触发漏洞（实际可能并没有使用到存在漏洞的配置或函数）...但从治理角度来说，不能仅看误报率，而是要看这个SCA工具的拆包能力和漏洞库。 从目前遇到的情况来看，想向大家分享三条真相： 1、SCA工具普遍对C/C++使用的开源组件识别不够好； 2、自家团队没弄出来POC的漏洞，不代表外部人弄不出来； 3、对开源组件的片段代码引用、代码查重，将会越来重视。 以上1-2点都是自己血淋淋的教训，而且还都发生在今年的国家级攻防演习中，希望在做开源安全治理时有所启发。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ 有没有好用的SDL平台？ Sonar是否好用以及误报率咋样？ SDL 34/100问：如何推进有问题的jar包更新？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

关于jar更新问题，属于开源组件安全治理的范畴。从SDL体系上来看，还是应该纳入到统一的漏洞管理流程中跟进，即使这个问题可能是后门或强传染性开源协议。 在推动开源组件修复的过程中，可能会遇到：漏洞太多推哪些修、如何让开发愿意修等难题。若是初期可以小范围试点推修，比如有公开POC的先修；慢慢再扩大范围为所有高风险、甚至中风险。 切记不要随着开发的思路：验证成功了，再修。因为开源组件CVE漏洞验证成功水太深（业务场景不熟悉、技术水平达不到、漏洞数量太多...），按这个路数大概率会走向失败。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ 有没有好用的SDL平台？ Sonar是否好用以及误报率咋样？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

漏洞风险等级，通常与漏洞对系统的影响程度和被利用的难易程度紧密相关。其计算方法比较出名、比较推荐的是CVSS，最新已经到4.0版本，First官方有提供在线计算器，但也可以写成脚本工具方便使用。 从应用场景来看，理论上是统一漏洞定级、方便推修及管理。但实际在公司内部通常不做那么复杂的计算，大概率直接参照安全检测工具给出的等级。在一些高要求的场景中会用到，比如华为对供应商的漏洞上报要求中，因此有必要知道和熟练掌握。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ SDL 31/100问：有没有好用的SDL平台？ SDL 32/100问：Sonar是否好用以及误报率咋样？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

代码安全扫描的误报率居高不下，一直是业界的难题。就当前的技术来说，唯有结合实际代码人工运营检测规则，才会有不错效果，所以不打算深入聊误报率。 既然遇到这个话题，不妨说下SonarQube(Sonar的一个版本)，是一个用于代码质量检测和管理的平台，可检测Bug、坏味道、漏洞等。通过插件形式支持检测多种开发语言，漏洞类型涉及OWASP top 10 (2021)、CWE等编号的漏洞。若使用其进行安全性扫描，至少有2个好处： 1、接入开发流程时间更早：大概率会比安全团队的其他工具更早，因为这是代码质量管理的常见工具，易于与Jenkins、gitlab等各种开发工具集成； 2、质量问题处置流程完善：代码bug修复的需求肯定是优先于安全问题，因为要解决软件可用性问题，所以相关流程、考核指标建设早、会更加完善。 但在实际场景中，大多数安全团队为什么不用？有个关键点是：配置管理团队给不给安全团队使用，这是权责与利益问题。此外，曾做过对比测试，专业的SAST工具在检测规则数量、实际检出效果方面（均为默认规则），也确实比SonarQube好。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SAST误报太高，如何解决？ SDL需要哪些人参与？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ SDL 31/100问：有没有好用的SDL平台？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

在SDL的开展过程中，随着接入的产品线越来越多、安全测试工具越来越多，产出的疑似漏洞或漏洞也就会越来越多，这时候就会需要一个平台来统一管控。 从目前来看，市场上并没有出现比较出名的标品，其原因可能是各家研发基础设施和流程不同，因此有很多定制化的需求。不过还是围绕解决问题出发，一个好用的SDL平台至少需要具备： 1、安全测试工具联动，如SAST、SCA、DAST、IAST的扫描任务管理、漏洞同步、规则调优等； 2、开发安全流程线上化，如带病上线的绿色通道申请流程、安全提测加急流程、漏洞修复流程等； 3、多种角色使用的功能，如安全工程师（安全测试）、产品线领导（风险态势）、产线开发人员（漏洞修复）等。 然而，以上这些都是需要在实践之后才能做得好，这也是SDL平台的宝贵之处。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SDL与DevSecOps有何异同？ 如何在不同企业实施SDL？ SAST误报太高，如何解决？ SDL需要哪些人参与？ 在devops中做开发安全，会遇到哪些问题？ 如何实施安全需求？ 安全需求，有哪些来源？ 安全需求怎么实现自动化？ 实施安全需求，会遇到哪些难题？ 安全需求和安全设计有何异同及关联？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ 在编码阶段加入安全检查后，如何处理带来的时间压力？ 白盒检测工具存在局限性，如何进行补偿？ SCA用什么系统做，自研还是外购？ 2、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

这是一个好迹象，说明已经开始关注开源组件的安全性。不过估计是在开源治理的初期。从建设阶段来说更重要的是看是否有预算投入，有充足预算肯定建议是用商用，没有预算则引入开源工具也尚可。无论是自研还是外购，有几条经验可以分享： 1、尽可能的要嵌入研发流程，自动化触发扫描，以及漏洞推送； 2、刚开始推广时，可能会在漏洞修复方面遇到困难，所以可以先要求风险非常高的组件及漏洞，再慢慢扩展开来； 3、对于开源组件，除了漏洞之外，还要关注许可证协议、后门，在一些行业许可证的合规性优先级可能更高，后门是深水区、有必要做但真正做得好的还不多。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SDL与DevSecOps有何异同？ 如何在不同企业实施SDL？ SAST误报太高，如何解决？ SDL需要哪些人参与？ 在devops中做开发安全，会遇到哪些问题？ 如何实施安全需求？ 安全需求，有哪些来源？ 安全需求怎么实现自动化？ 实施安全需求，会遇到哪些难题？ 安全需求和安全设计有何异同及关联？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ 在编码阶段加入安全检查后，如何处理带来的时间压力？ SDL 29/100问：白盒检测工具存在局限性，如何进行补偿？ 2、SDL最初实践系列 开篇 安全需求 安全设计 安全开发 安全测试 安全审核 安全响应 3、SDL创新实践系列 首发！“ 研发安全运营 ” 架构研究与实践 DevSecOps实施关键：研发安全团队 DevSecOps实施关键：研发安全流程 DevSecOps实施关键：研发安全规范 从安全视角，看研发安全 数字化转型下的研发安全痛点

本文经过长期一线研发安全工作实践，首次提出 “ 研发安全运营” 概念与架构，重点讨论了研发安全运营关键要素，并给出了实际案例和经验总结。

安全行业的打卡活动，质量少见又稀缺。

本文是第六篇，DevSecOps实施的第三个关键准备（3/4），系统化的介绍研发安全相关规范体系。从设计思路、技巧到实践经验，描述了规范的应用，以全面支撑研发安全工作在公司层面的开展。

本文是“深耕研发安全”系列的第五篇，DevSecOps实施的第二个关键准备（2/4）。主要介绍研发安全流程体系，从卡点的选取、安全提测主流程的设计到流程的缺陷补偿，全方位支撑研发安全工作在公司层面的全线开展。

本文是“深耕研发安全”系列的第四篇，正式步入DevSecOps实施前的准备阶段。文中首次提出“研发安全团队”及架构，既是理想中的完备团队，又是做好研发安全工作必备的最小能力集。

在上一篇中，找到了研发安全的切入点，按照常规思路就应该想出对应的解决之道。本文将深入“架构-编码-配置 + 应急响应”，针对漏洞生产源，提出治理的实践方法及经验。

本文是“深耕研发安全”系列的第二篇，主要介绍从纯安全的视角出发，紧密围绕漏洞及治理，结合对成本的考虑，去定位研发过程中的漏洞生产源，从而找出最佳的研发安全工作切入点。

本文是”深耕研发安全”系列文章的开篇，介绍在数字化转型过程中，研发安全的工作模式与方法的迭代升级。从研发安全体系建设的角度出发，总结出难度比较大的三个典型问题。

我们生活在复杂的环境中，不应该只嗑专业技能、促长进，认知、软技能等各方面也要学习、得成长！

再过两天，就到了24年的BCS网络安全大会。部门这次承办了企业安全论坛，并且议题质量很高。在QAXSRC小安发推文后，我说也要转载分享给粉丝。在我眼里，有两个亮点值得尤为关注：1、大模型在安全运营上的应用；2、《终端安全运营实践》发布。

白盒检测工具的常见问题主要是误报和漏报，为了推广应用及实现自动化需求，误报是最开始被关注的。但从最终效果来看漏报也很重要，应该重点想办法解决： 1、工具本身的局限性：基于正则模式匹配或数据流污点跟踪等均是静态检测方法，动态数据处理、数据流中断等场景均无法检测。 2、工具能力之外漏洞：业务逻辑类（如越权）、数据安全类（如接口返回过多的敏感信息）及环境配置类漏洞，并非SAST本身的能力，均无法检测。 不过从整体SDL来看，白盒检测是产出最高的、也被寄予非常高的期望，以至于会误导领导以为能检测所有代码层面的漏洞。实则需要引入人工专项代码审计，重点review如认证处的逻辑关系、yii等SAST工具支持不友好的开发框架；在测试阶段使用DAST和IAST覆盖部分SAST检测不到的场景，如基础运行环境的安全、数据流中断的场景。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SDL与DevSecOps有何异同？ 如何在不同企业实施SDL？ SAST误报太高，如何解决？ SDL需要哪些人参与？ 在devops中做开发安全，会遇到哪些问题？ 如何实施安全需求？ 安全需求，有哪些来源？ 安全需求怎么实现自动化？ 实施安全需求，会遇到哪些难题？ 安全需求和安全设计有何异同及关联？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ 如何提升开发人员的安全意识？ SDL 28/100问：在编码阶段加入安全检查后，如何处理带来的时间压力？ 2、SDL最初实践系列 开篇 安全需求 安全设计 安全开发 安全测试 安全审核 安全响应

借着回答这个问题，顺道盘点了编码阶段的安全活动开展情况。首先是安全检测会给业务研发团队增加工作量，带来时间压力。反之业务团队也会对安全团队发起挑战，所以在编码阶段的安全活动设计之初，就应该考虑到： 1、推动安全开发工作融入到业务：在开发计划中，合理加入安全测试所需的时间，并将其纳入项目进度安排。从根本上杜绝给项目组带来“额外”工作的感觉，引导开发人员为自己引入的漏洞负责，这是他们需要恪守的底线。 2、代码检测自动化及提高准确率：自动化触发扫描替代手工登录工具后台创建任务进行扫描，精细化运营检测规则可以让开发人员更加相信安全团队、以及提高准确率能够提升开发人员修完漏洞的信心。 安全团队在推行安全活动时，一定是要先试点、先准备好工具并实现自动化、检测规则调整完毕再逐步推广。在整个过程中持续优化安全流程、检测工具及安全要求等，尽可能站在业务方考虑但要有安全底线，毕竟我们的目标是为业务保驾护航。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SDL与DevSecOps有何异同？ 如何在不同企业实施SDL？ SAST误报太高，如何解决？ SDL需要哪些人参与？ 在devops中做开发安全，会遇到哪些问题？ 如何实施安全需求？ 安全需求，有哪些来源？ 安全需求怎么实现自动化？ 实施安全需求，会遇到哪些难题？ 安全需求和安全设计有何异同及关联？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ 代码安全扫描应该设置哪些指标？ SDL 27/100问：如何提升开发人员的安全意识？ 2、SDL最初实践系列 开篇 安全需求 安全设计 安全开发 安全测试 安全审核 安全响应

开发人员的安全意识和能力，决定着代码原本的安全质量。提升安全能力变得很有必要，通常做法包括安全责任、安全教育及漏洞复盘： 1、建立安全责任：在公司或团队中营造安全文化氛围，明确开发人员在安全方面的责任和义务，让他们明白自己在安全工作中的角色和重要性；建立安全责任追究机制，对违反安全规定或造成安全漏洞的行为进行追责与处罚。 2、开发安全教育：定期组织开发安全培训，提供实际案例让开发人员了解安全漏洞是如何被利用，让开发人员了解最新的安全威胁、漏洞类型和攻击方式；其中，非常有效的一招是“解决不了问题，就解决写漏洞的开发人员”的思路，在一定周期内统计写漏洞数量top的开发人员，然后组织培训和考试。 3、外部漏洞复盘：在自助型SDL中，SAST、SCA、IAST都需要业务方自行去判断扫描结果，从历史复盘经验来看，有的开发会缺少责任心或专业技能，导致漏洞被漏判从而漏出到外部。此时用SRC收到的漏洞组织开发进行复盘分析，找出误判的原因更有效。不过是在事后，安全团队需要承担安全事件带来的领导质疑、赏金等代价。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SDL与DevSecOps有何异同？ 如何在不同企业实施SDL？ SAST误报太高，如何解决？ SDL需要哪些人参与？ 在devops中做开发安全，会遇到哪些问题？ 如何实施安全需求？ 安全需求，有哪些来源？ 安全需求怎么实现自动化？ 实施安全需求，会遇到哪些难题？ 安全需求和安全设计有何异同及关联？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SCA工具扫描出很多漏洞，如何处理？ SCA工具识别出高风险协议，如何处理？ 如何制定一份有用的开发安全规范？ 如何做到开发安全规范的有效实施？ 应该如何选型代码安全扫描工具？ SDL 26/100问：代码安全扫描应该设置哪些指标？ 2、SDL最初实践系列 开篇 安全需求 安全设计 安全开发 安全测试 安全审核 安全响应