专栏特辑 | 开发安全铁三角纵横谈(十五)​初探开发安全监测建设

admin 2022年11月1日18:58:29安全开发评论12 views1868字阅读6分13秒阅读模式
专栏特辑 | 开发安全铁三角纵横谈(十五)​初探开发安全监测建设

专栏特辑 | 开发安全铁三角纵横谈(十五)​初探开发安全监测建设

开发安全铁三角

为了能更好地理解今天所讲,请大家先回顾一下之前“开发安全铁三角纵横谈”内容:专栏特辑 | 开发安全铁三角纵横谈(十四)安全测试阶段、开发安全培训

迄今为止,开发安全铁三角第二个角“能力”的方面已基本讲完,下面该开始“监测”部分。


开发安全监测建设

开发安全监测是开发过程中发现安全质量缺陷的能力,也就是发现漏洞的能力。
在这方面,人的监测效果肯定最好,但成本太高,不太现实。以源代码审计为例,真正用程序员去审核源码,发现里面是否有漏洞,是否有后门,花费时间未必比开发一份少多少,大部分企业无法承担这个成本。对开发安全监测工具的期待,成为解决问题的出路。但工具也有工具的问题,安全监测工具一般漏报率和误报率都比较高,使用起来也需要不断地改进。
目前业界监测能力做得最好的,一般是从以下方面处理:

(1)通用安全工具结合定制开发,针对本机构具体的、重要的、风险大的系统的自身特色,做一部分定制开发,提升漏洞检测能力,降低漏报率,有时也能显著降低误报率。

(2)广泛利用自动化测试(指功能测试),协助安全测试保证覆盖率,降低漏报率。

(3)运用多种安全监测工具综合监测,利用有些工具比较准,有些工具比较全的特性提升监测能力。

(4)结合部分人工渗透测试,对工具监测的不足进行补充。

以上方案监测能力强,发现漏洞能力强,但成本仍然很高。有些机构还是只能忍受工具的不足,利用通用监测工具实现安全监测。
下面来介绍开发安全过程中的安全监测工具。
大家先看一张图:

专栏特辑 | 开发安全铁三角纵横谈(十五)​初探开发安全监测建设

这是在Gitlab中,选择安全与合规配置时,出现的界面,这个界面涵盖主要测试工具。

源代码审计工具/SAST

源代码审计工具存在十多年了,静态应用程序安全测试是后期新取得名字,容易让人糊涂。
源代码审计工具就是分析源代码,从源代码发现一些安全缺陷,有些是可以直接发现的,比如密码直接写在程序里(源代码审计中叫“密码硬编码”)等,引用一些有风险的函数等;有些则需要分析软件的数据流,通过数据流发现外部输入的数据可能没有经过合适的处理就应用,比如SQL注入漏洞等。
源代码审计是安全开发中最重要的安全监测产品,能够发现代码中的不少问题,对提高开发团队的安全意识,提升代码安全质量有重要贡献,是大型开发团队的必备检测工具。
但同时,检测工具也有不如人意的地方。
下面是源代码审计报告的汇总部分:

专栏特辑 | 开发安全铁三角纵横谈(十五)​初探开发安全监测建设

这份报告实际内容是457页,这里是汇总部分,所有漏洞超过18000+。即便不算低风险,仅高风险和严重风险的也有1979个漏洞,把这些漏洞理解和整改显然是巨大的工作量。这里还有个关键:高风险能不能就让开发团队服气?事实上是不能的。
以前文提到的软件硬编码为例,对于甲方自身的应用程序(不是对外销售的产品程序)来说,一个密码如果不直接写在代码中,就只能放配置文件中,这样的好处是可以随时修改密码,这样密码就会经常更换,而写死在程序中,要更换密码就需要重新编译,更加困难,会导致不更换密码。但是,就密码泄露本身来说,肯定是配置文件比代码文件更容易泄密,所以配置文件未必是更好的选择。因此,只能考虑配置文件加密,但解密机制源码中也很清楚,从这个角度来说,也不能减少密码泄露的可能性。所以,针对甲方自身的应用程序,密码硬编码其实并没有什么特别有效的改进方法。另外,密码硬编码导致密码泄露是源码泄露的前提,本身漏洞利用起来并不容易,所以这个漏洞在开发团队和安全团队中,并没有那么严重。
一方面,漏洞数量巨多;另一方面,存在大量无法直接利用、风险也不是那么高的漏洞被当做高危/严重漏洞报出来,导致源代码审计产品的实用价值面临挑战。
少数单位具备源代码审计工具的高级运营能力,可以通过不断调优规则,减少源代码审计工具的报告漏洞数量,建立黑白名单机制,减少必须整改的漏洞数量,提升源代码审计工具的可用性。
大部分机构难以具备代码审计工具的高级运营能力,只能在实际项目中,依靠开发团队和安全团队的个人能力和经验、资源、项目紧急性等综合处理,结果不规范、不稳定,质量管控也就无从谈起。
这里要特别强调一点,即便是最糟糕的情况,源代码审计工具也可以极大提升系统的安全性。在源代码报告的讨论中,无论结果怎样,就讨论过程本身而言就能大幅提升开发团队的安全意识和安全能力,大幅提升系统的安全性。

拓展阅读


新版上线 | 国舜天玑日志审计分析平台能力新升级

国舜股份通过国际软件工程领域最高级别CMMI5级评估认证

专栏特辑 | 开发安全铁三角纵横谈(十四)安全测试阶段、开发安全培训

专栏特辑 | 开发安全铁三角纵横谈(十五)​初探开发安全监测建设

原文始发于微信公众号(国舜股份):专栏特辑 | 开发安全铁三角纵横谈(十五)​初探开发安全监测建设

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月1日18:58:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  专栏特辑 | 开发安全铁三角纵横谈(十五)​初探开发安全监测建设 http://cn-sec.com/archives/1384610.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: