SDL 47/100问:如何定位及落地威胁建模?
SDL涉及到多个安全活动,随着DevSecOps火热,相关安全活动数量还在增加。从纯产出的角度(漏洞、合规及市场需求)来说,这些活动的“部分”优先级如下:
1、DAST,包括主机漏扫、web漏洞扫描、容器漏洞扫描等,满足合规需求;
2、SAST,通过规则精简、调优及数据流追踪等原理检测,很大程度上降低误报;
3、IAST,对于技术栈统一且与工具匹配的业务,这一点排名甚至可以排到第二;
4、人工安全测试,包括渗透测试和代码审计,作为工具的补充很有必要,但资源有限时不会考虑;
5、安全设计,如问题中的威胁建模,对业务场景中的安全问题发现效果非常好、且更早发现,缺点就是对人的要求太高、自动化难度大。
由此可以见得威胁建模在我心中的定位,虽然排名靠后但并不是不好,相反是很好,但就是“太贵”!关于落地方面的经验,在第16问中有介绍,此处不再描述。
更多软件安全内容,可以访问:
1、SDL100问:我与SDL的故事
SAST误报太高,如何解决?
SDL需要哪些人参与?
设计阶段应开展哪些安全活动?
有哪些不错的安全设计参考资料?
安全设计要求怎么做才能落地?
有哪些威胁建模方法论?
如何选择开源组件安全扫描(SCA)工具?
SCA工具扫描出很多漏洞,如何处理?
SCA工具识别出高风险协议,如何处理?
应该如何选型代码安全扫描工具?
白盒检测工具存在局限性,如何进行补偿?
SCA用什么系统做,自研还是外购?
Sonar是否好用以及误报率咋样?
如何推进有问题的jar包更新?
SCA工具的误报率怎样?
在研发安全流程落地方面,有何经验?
如何说服业务完成checklist自检?
sdl会对项目变更代码做review吗?
如何展示SDL的成果或效果?
怎么解决源代码两张皮导致安全失效?
开发安全培训是否有效?
安全组件如何在SDL中落地?
如何安全管理研发提交代码到GitHub进行开源?
安全组件(SDK)能够否覆盖Owasp Top 10?
SDL 46/100问:SDL建设是难中难,该如何做?
2、SDL创新实践系列
首发!“ 研发安全运营 ” 架构研究与实践
DevSecOps实施关键:研发安全团队
DevSecOps实施关键:研发安全流程
DevSecOps实施关键:研发安全规范
从安全视角,看研发安全
数字化转型下的研发安全痛点