笔者所在的应用安全团队，隶属于某金融机构，致力于组织的应用安全能力体系建设。已经完成了初步的应用安全能力体系建设，探索并落地实施了DevSecOps框架。然而，面对不断变化的安全威胁，应用安全能力建设也需要不断提升和适应环境的变化。在具备了一定的应用安全成熟度的基础上，我们迫切需要深思熟虑：如何规划未来一年应用安全能力更深层次的建设。

在规划应用安全建设方向时，需要体系化地进行思考，先规划整个应用安全能力体系建设蓝图。下图为组织规划的应用安全能力体系框架，从组织、技术和运营层面统筹规划未来一段时间的应用安全建设方向。

在规划自身应用安全能力体系时，可以参考业界领先的实践或者成熟度模型，如BSIMM软件安全构建成熟度模型、OWASP OpenSAMM、DoD DevSecOps成熟度模型等。运用这些安全成熟度模型，可以达到以下目标：

选择软件安全成熟度模型，对当前的安全水位进行度量和对比，可以发现和业界领先的差距，弥补短板，设定规划目标的优先级，可以指导应用安全规划的方向。

接下来将基于上面的应用安全能力建设框架，探讨几个重点方向，介绍具体的年度规划目标，以引领应用安全团队不断提升自身应用安全风险管理能力，确保组织的应用安全能够与时俱进，应对不断演变的挑战。

应用安全。由于更多关注研发安全，需要和研发有更深的协作，所以需要有既懂安全又懂研发的应用安全专业人员。由于应用系统新技术新框架在持续引入，如AI、大数据、云原生、区块链、服务网格等，应用安全人员需要持续学习和提升自身专业技能，才能跟上新技术的发展，从而识别新技术带来的安全风险，并提供安全解决方案。

因此在年度规划时，需要持续提升应用安全人员专业能力。主要从如下几方面来进行提升：

在制定年度目标时，对应用安全人员的自身能力提升提出要求，鼓励通过上述方式持续提升自身专业能力，这样才能更好地支撑组织应用安全能力体系的建设，给研发团队提供更加专业的技术支撑。

应用安全团队。负责安全左移，赋能开发安全，在项目建设过程中同步开展安全需求、威胁建模、安全设计、安全测试等。安全建设过程通过项目安全评估流程作为载体进行，年度规划的其中一个目标就是优化项目安全评估流程，并对项目组进行深度赋能，实现系统“内生安全”。

研发开发安全赋能平台。作为项目安全建设的工作台，赋能项目组，实现、提升项目安全评估效能。主要功能优化点有：用户体验提升、UI整体风格优化、系统部署图在线编辑及用户场景联动、API线上化、自动化安全测试工具编排、轻量级威胁建模、渗透测试漏洞多维度统计分析、安全评估OA待办、超时邮件提醒、数据安全评估及个人信息保护评估内嵌、特采流程定制化、自动化生产部署验证等。

轻量级威胁建模优化。从风险管理视角，研究轻量级威胁建模方法的落地，包括根据历史漏洞分析，按MITRE 的CWE进行正规化分类，同时关联出攻击模式（CAPEC）和适用条件；进一步补充和完备“调查问卷”中的问题集合和关注点；完善相关的安全设计原则、安全编码实践，给出安全指南；在开发安全赋能平台中对功能优化进行实现等。

场景化安全设计方案库。在安全设计阶段，编写常见业务场景的实现示例，为研发团队提供基础的参考实现。如AES 256 GCM Nopadding加密、文件上传、基于PBKDF2的口令存储、XSS防护、滑动验证等。

安全知识赋能及培训。在wiki输出安全知识文章，对研发团队开展安全培训等。

多场景标准化安全架构。协同架构等，推动移动OA应用、互联网web应用、移动APP等标准化架构制定。

目标是优化端到端应用安全测试工具链，提升安全工具自动化率、检测覆盖率、准确率及用户体验。

建设ASOC自动化安全测试编排能力。研发自动化安全测试平台，将SAST源代码安全扫描、SCA开源组件安全扫描、DAST黑盒安全扫描、MAST移动安全扫描、容器镜像安全扫描等集成到安全测试平台，并以API方式提供开发安全赋能平台，实现自动化安全测试能力。

建设代码级API采集能力。基于开源框架进行改造，基于java字节码解析，识别API接口。

提升源代码安全检测能力。基于开源漏洞挖掘框架自研源代码安全扫描工具，针对业务代码特性针对性进行常规漏洞检测，如SQL注入，命令注入等，提高常规漏洞的检测率。

建设常态化安全扫描能力。针对制品库及git代码库，通过自动化测试平台实现定期的自动化安全扫描。

目标是建立互联网攻击面风险常态化运营机制，实现日常资产和攻击面风险运营工作。

建设应用攻击面管理平台。对各种扫描和安全活动、IT资产、CMDB、流量数据、系统API等内容进行自动化采集，基于资产、风险、威胁等多维度数据和风险度量模型，构建应用系统安全风险画像，实现挂图作战，赋能安全运营人员进行风险决策。

建立攻击面的日常风险常态化运营机制。利用攻击面测绘扫描工具来识别攻击面内容，评估攻击面中的潜在风险。建立持续的监测机制，对攻击面的变化进行实时跟踪和分析。

攻击面风险周期巡检。包括新增资产、漏洞、风险、系统等内容，评估新增资产和存量资产存在的风险，并及时开展处置工作。

根据日常的攻击面风险运营过程和结果，周期性地进行复盘工作，总结当前问题和不足，推动下一步工作和系统、流程的优化整改。

建立应用安全常态化运营机制。通过应用安全运营指标、运营报告、漏洞复盘、安全评估复盘等，驱动项目安全评估覆盖率、漏洞修复率及检测率的提升等，通过应用安全运营发现应用安全领域存在的问题，及时反馈和改进，促进应用安全各项工作有效性推进和能力提升。

应用安全运营领域指标设计。完成漏洞、SDL、风险等指标设计，包括当前漏洞总数、已修复漏洞总数、未修复漏洞总数、总修复率、漏洞发现来源分布、各中心漏洞排行、漏洞类型分布、安全评估用时、各中心接入数量、各中心安全评估覆盖率等。

应用安全周期化运营报告。实现漏洞总量趋势、未修复漏洞数量趋势图、漏洞来源分布、漏洞类型分布、项目组漏洞排行、团队安全评估覆盖率、安全评估平均用时等指标数据采集，定期输出应用安全运营周报及月报。

建立常态化应用安全运营复盘机制，通过复盘驱动改进。

持续优化和完善应用安全渗透测试体系。通过优化项目安全评估过程中渗透测试流程、规范渗透测试标准及执行过程、完善渗透测试场景及用例库、定期开展专项渗透测试行动等手段提升渗透测试漏洞发现能力。

制定渗透测试规范，包括渗透测试时间与风险管控原则、漏洞分类分级方案、漏洞复测原理和关闭流程、记录相关错误测试方法案例等。

成立内部专项渗透测试小组，内部渗透及外部众测进一步挖掘系统漏洞，降低应用安全风险。对安全评估的应用进行上线前人工渗透测试，确保上线前应用风险可控，对已上线应用进行回归测试和验证测试，确保线上应用无新增风险。

根据不同类型的应用系统制定渗透测试强制测试项，避免测试遗漏，并进相关操作记录，有利于渗透测试标准化，提升渗透测试质量。

周期复盘渗透测试发现的安全漏洞，定制专项测试用例。

应用安全能力建设年度规划，除了上述的年度重点目标，还有制度和规范完善、软件供应链安全风险治理、云原生安全能力提升、安全认知增强计划、安全产品研发、业务安全、移动安全、技术实践工程化研究、重大风险治理等，由于篇幅原因，就不做详细展开了。

应用安全能力建设年度规划的目标是持续提升应用安全能力成熟度，根据组织自身情况，按照优先级进行针对性规划建设，从而提升研发运营一体化过程的安全风险管理水平。