我的安全视界观

这是引用开源组件带来的第二个大问题，也是群里讨论最少的一个话题。在回顾群聊记录时，发现相关提问比较少且基本没人应答。结合自己的工作经验和理解，认为超纲到法务范畴了，并非网络安全专业能够解决。 然而，在企业安全建设工作中，有的事情就是要安全团队挑头，邀请其他团队一起作战。比如，在开源组件合规风险治理过程中： 1、需参与的人物角色包括： 业务、法务和安全，尤其是法务要结合业务场景给出专业意见； 2、首要关注的开源协议是： Copyleft许可证，包括GPL和AGPL，要求使用该类协议组件的产品代码也要使用相同的许可证，并开放源代码； 3、开源组件合规使用原则： 非必要不使用高风险协议的组件。但在无法避免时，可以有一些规避措施，如将私有代码和开源代码进行隔离，包括但不限于地址空间不同，通信方式轻耦合；与开源组件贡献者沟通商业许可等。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SDL与DevSecOps有何异同？ 如何在不同企业实施SDL？ SAST误报太高，如何解决？ SDL需要哪些人参与？ 在devops中做开发安全，会遇到哪些问题？ 如何实施安全需求？ 安全需求，有哪些来源？ 安全需求怎么实现自动化？ 实施安全需求，会遇到哪些难题？ 安全需求和安全设计有何异同及关联？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ 如何选择开源组件安全扫描(SCA)工具？ SDL 21/100问：SCA工具扫描出很多漏洞，如何处理？ 2、SDL最初实践系列 开篇 安全需求 安全设计 安全开发 安全测试 安全审核 安全响应

曾听到过一些同行说：没有SCA工具的时候倒还好，上了SCA工具后竟然检测出一个项目成百上千、甚至上万个漏洞。乙方又没有可行的解决方案，简直是在领导面前挖了坑。 其实我很能理解他们的痛点，他们指：SCA工具厂商和客户，前者可能只有工具检测能力、不具备针对扫描结果的解决方案；后者则是更关注落地、需要合理有效的处理扫描结果至闭环。 三年前就正式开始尝试解决这个问题，今天来看还是受限于检测技术的瓶颈，如分析出漏洞调用链进而减少误报（让SCA具备SAST的能力），但终究没能有实质性的突破。与此同时尝试通过人工运营的方式，分析并提取漏洞利用条件，转化为开发视角的语言描述，提供给业务方进行判断，从而发现存在真正风险的漏洞并推修。 就强监管的公司而言，可以进行强制要求修复。其他情况，如我司借助重大网络安全保障，在公司内部强推行开源组件扫描与修复工作。在此之前不敢推行SCA，然而现在心里立马有底。原来利用公司重大事件/项目，来推进安全工作是这么给力，SCA可落地且策略依次为：扫出高危就修（强监管）、扫出漏洞存在公开POC就修（互联网）、扫出漏洞存在公开POC且满足利用条件才修（开发强势、安全弱势的情况）。 开源组件漏洞的治理也应该左移，统筹公司内部的开源组件库进行统一纳管。但这对于网络环境较为开放的公司而言，是一个漫长的过程及充满挑战的历程。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SDL与DevSecOps有何异同？ 如何在不同企业实施SDL？ SAST误报太高，如何解决？ SDL需要哪些人参与？ 在devops中做开发安全，会遇到哪些问题？ 如何实施安全需求？ 安全需求，有哪些来源？ 安全需求怎么实现自动化？ 实施安全需求，会遇到哪些难题？ 安全需求和安全设计有何异同及关联？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ 如何选择静态代码扫描(SAST)工具？ SDL 20/100问：如何选择开源组件安全扫描(SCA)工具？ 2、SDL最初实践系列 开篇 安全需求 安全设计 安全开发 安全测试 安全审核 安全响应

SCA（Software Composition Analysis，软件成分分析）工具，主要用于检测项目依赖项中可能存在的公开披露的漏洞，个别工具在早期提供了漏洞证明代码（POC），现由于监管、担心被滥用等问题都不再提供，而是用标记来说明。 1、商业的SCA工具，通常还会具有开源协议分析的功能，提醒用户使用的开源组件是否有合规方面的风险。 2、当提到SCA工具时，令人想到的核心能力有：开源组件依赖分析（拆包识包）能力、漏洞情报（漏洞库）能力、开源许可证识别能力。这几点上，显然商业的要比开源的更胜一筹。 3、在选择SCA工具时，仍然首要考虑对实施扫描的环境（主要为开发框架和语言）的支持性，其次是考虑工具的准确性（上述核心能力），最后是工具的易用性、及集成能力。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SDL与DevSecOps有何异同？ 如何在不同企业实施SDL？ SAST误报太高，如何解决？ SDL需要哪些人参与？ 在devops中做开发安全，会遇到哪些问题？ 如何实施安全需求？ 安全需求，有哪些来源？ 安全需求怎么实现自动化？ 实施安全需求，会遇到哪些难题？ 安全需求和安全设计有何异同及关联？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ 编码阶段，开展哪些安全活动？ SDL 19/100问：如何选择静态代码扫描(SAST)工具？ 2、SDL最初实践系列 开篇 安全需求 安全设计 安全开发 安全测试 安全审核 安全响应

静态代码分析的工具非常多，有开源或商业的，有国内、外之分，有基于关键字正则匹配、或AST语义分析、亦或IR/CFG的代码分析。不过从甲方安全建设的视角来看，首要考虑成本和效果，故提供以下几点建议： 1、根据公司技术栈选择工具，具体来说就是看主流开发语言，因为有的工具确实会对某个语言支持得更好，表现在高检出率（POC时尽量不要用知名漏洞靶场）； 2、破解版的SAST商业工具很少，但在国内却广泛传播着国外的某个破解工具，目前来看还有小范围更新规则库，个人研究或缺少预算的可以看看。但针对该情况，更推荐使用开源工具（不主张企业级用破解版，会带来麻烦）； 3、从检测效果来看，正则关键匹配方式明显是误报最高的，但在有的场景中比较好用，比如数据流中断、想要快速检出具体的某一类漏洞.时..故不应考虑技术是否先进，不要指望一个工具能解决所有问题。在工具链建设时，可以先主、然后不断的丰富不同原理但又能扫出漏洞的工具。 总的来说，要做好代码安全扫描，无论选择怎样的工具都会有一个前提：企业配备具备代码审计的人员，持续做开发安全运营。附静态代码分析工具大全（国外与开源版）：https://owasp.org/www-community/Source_Code_Analysis_Tools 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SDL与DevSecOps有何异同？ 如何在不同企业实施SDL？ SAST误报太高，如何解决？ SDL需要哪些人参与？ 在devops中做开发安全，会遇到哪些问题？ 如何实施安全需求？ 安全需求，有哪些来源？ 安全需求怎么实现自动化？ 实施安全需求，会遇到哪些难题？ 安全需求和安全设计有何异同及关联？ 设计阶段应开展哪些安全活动？ 有哪些不错的安全设计参考资料？ 安全设计要求怎么做才能落地？ 有哪些威胁建模方法论？ 有哪些威胁建模工具？ 如何开始或实施威胁建模？ 威胁建模和架构安全评审，有何异同？ SDL 18/100问：编码阶段，开展哪些安全活动？ 2、SDL最初实践系列 开篇 安全需求 安全设计 安全开发 安全测试 安全审核 安全响应

纵观软件安全开发周期，编码阶段的安全活动是最好实现技术管控，最容易发现代码中的漏洞，最容易做自动化安全扫描的。经过实践之后，认为可以在该阶段开展： 1、编码安全规范：根据业务开发语言和历史发现的安全问题，量身定制编码安全规范，在SDL的体系文件中定位为三级规范性文件，做到有据可循； 2、编码安全培训：对编码安全规范、安全扫描工具及扫描的结果研判方法进行技术分享，配合考试等方式提升开发人员的安全意识； 3、静态代码扫描：对自研代码进行安全扫描，一般都能实现自动化触发、扫描结果推送到开发邮箱，有的甚至在IDE上开发时就检测漏洞，提醒开发人员及时修复漏洞； 4、开源组件扫描：针对第三方组件（开源或自研），也要进行漏洞扫描和协议合规性分析，同样可以实现自动化触发和扫描，但处理扫出的问题就比较棘手了； 5、引入安全SDK：其实不一定是具体的SDK，有的是改良过的开发框架或库，有的是全局filter，尤其是在技术栈统一的公司更可能落地。在开发编码时，开发人员正确使用安全SDK，从源头解决常见的web漏洞。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SDL 1/100问：SDL与DevSecOps有何异同？ SDL 2/100问：如何在不同企业实施SDL？ SDL 3/100问：SAST误报太高，如何解决？ SDL 4/100问：SDL需要哪些人参与？ SDL 5/100问：在devops中做开发安全，会遇到哪些问题？ SDL 6/100问：如何实施安全需求？ SDL 7/100问：安全需求，有哪些来源？ SDL 8/100问：安全需求怎么实现自动化？ SDL 9/100问：实施安全需求，会遇到哪些难题？ SDL 10/100问：安全需求和安全设计有何异同及关联？ SDL 11/100问：设计阶段应开展哪些安全活动？ SDL 12/100问：有哪些不错的安全设计参考资料？ SDL 13/100问：安全设计要求怎么做才能落地？ SDL 14/100问：有哪些威胁建模方法论？ SDL 15/100问：有哪些威胁建模工具？ SDL 16/100问：如何开始或实施威胁建模？ SDL 17/100问：威胁建模和架构安全评审，有何异同？ 2、SDL最初实践系列 开篇 安全需求 安全设计 安全开发 安全测试 安全审核 安全响应

在SDL中，威胁建模和架构安全评审通常是相辅相成的，虽说它们的目的一样，但出发点和关注点不同： 1、威胁建模：通过分析或模拟攻击场景来识别潜在的安全威胁。通常涉及对系统的数据流、信任边界、入口点和输出点进行全面分析。有成熟的方法论，如STRIDE、VAST、DREAD等。 2、架构安全评审：通过审查文档和与相关人员讨论，审查系统的整体架构设计，以确保其满足安全需求和标准。不仅关注整个系统的安全性，还关注架构层面的决策是否可能导致潜在的安全风险。 就安全活动的开展顺序而言，我更偏向推荐先架构安全评审，再威胁建模。因为前者主要是验证性质，更关注安全需求考虑情况、具体怎么设计；后者是通过体系化的方法来发现可能存在的潜在隐患，重在发现新的问题并消除风险。 更多软件安全内容，可以访问： 1、SDL100问：我与SDL的故事 SDL 1/100问：SDL与DevSecOps有何异同？ SDL 2/100问：如何在不同企业实施SDL？ SDL 3/100问：SAST误报太高，如何解决？ SDL 4/100问：SDL需要哪些人参与？ SDL 5/100问：在devops中做开发安全，会遇到哪些问题？ SDL 6/100问：如何实施安全需求？ SDL 7/100问：安全需求，有哪些来源？ SDL 8/100问：安全需求怎么实现自动化？ SDL 9/100问：实施安全需求，会遇到哪些难题？ SDL 10/100问：安全需求和安全设计有何异同及关联？ SDL 11/100问：设计阶段应开展哪些安全活动？ SDL 12/100问：有哪些不错的安全设计参考资料？ SDL 13/100问：安全设计要求怎么做才能落地？ SDL 14/100问：有哪些威胁建模方法论？ SDL 15/100问：有哪些威胁建模工具？ SDL 16/100问：如何开始或实施威胁建模？ 2、SDL最初实践系列 开篇 安全需求 安全设计 安全开发 安全测试 安全审核 安全响应