很久以前,就想写一篇关于SDL与DevSecOps的文章,但疏于实践一直未能动笔。想写的原因很简单,因为总是听到有人说SDL落后、DevSecOps相关技术更高超。一提到研发安全建设,不分研发模式都在赶时髦一样地说DevSecOps。从我的观察来看,不结合研发模式来做研发安全,都是不成功的。
在数字化浪潮的推动下,一些公司已经完全步入DevOps模式,有的则出现瀑布、敏捷或DevOps并存,且后者是居多的。所以如何在多种研发模式下进行有效的研发安全建设,成为一个必须解决的难题。经过近十年的实践,终于在探索解法上有一点点收获与经验,于是有了“深耕研发安全”这一系列文章。
本文是第二篇,主要介绍从纯安全的视角出发,紧密围绕漏洞及治理,结合对成本的考虑,去定位研发过程中的漏洞生产源,从而找出最佳的研发安全工作切入点。
下面最左边那张图,是近十年提交到CNVD的漏洞趋势统计,平均每年有1.7w个漏洞被发现并提交。然而这只不过是冰山一角,国内外还有很多类似的平台在收集漏洞,全世界也还有很多漏洞并未被提交到这些平台。所以说,每年发现的漏洞数是非常大的。
其次,在国家级或者各行业的实战攻防演习中,攻击队通常会用互联网业务系统漏洞进行打点,从而突破边界进入内网发起攻击。这些web漏洞、软件供应链漏洞都属于软件安全质量范畴,足以见得漏洞对于企业安全来说是多么重要。
第三是国家对于漏洞的重视程度也在逐渐提高和明确。随着对网络安全的重视,各行业对漏洞都有一些明确的要求,比如上面右图这种漏洞管理的规范,甚至还专门建设漏洞管理平台来收集。
综上三方面想说明:软件的漏洞,特别值得我们去关注和花心思治理。
前面一直在提漏洞,那什么是漏洞?见过很多漏洞定义和分类方法,此处想从研发过程来看,包括软件和协议方面的,几乎可以被全部囊括在内。
换而言之,这些漏洞都可以在研发过程中被发现,然后有机会得到治理。
在软件质量领域,有一个先驱者叫琼斯,在他的报告中提出以下三张图及对应着三个观点。从安全角度来看,依旧是适用的:
-
85%的缺陷都是在开发人员编码时引入; -
目前大多数缺陷都是在测试阶段被发现; -
缺陷的修复工作越往后成本就会越大。
于是得出一个结论:要切入开发流程,尽早地去做研发安全。然而现在又有人提出一个无处不移的概念,其实这也是相对的,在每个阶段开展安全活动都比较重要。
上面提到,在编码阶段引入了85%的漏洞,那剩余的15%在哪儿?如果对漏洞按照开发阶段进行分类,不难发现还有两个主要来源:
第一个是还没开始写代码,即在设计阶段做技术架构选型与设计时,不遵守安全设计原则或未充分考虑安全性,就可能引入漏洞。如:
-
使用存在已知漏洞、潜在后门的开源软件/组件:Java程序中使用旧版本的fastjson、使用被投毒的xz操作系统opensuse等; -
软件内部设计存在安全缺陷:应用层服务间相互调用,缺少网关统一管控、无认证机制等。
第二就是写完代码并提交,此时还是可能引入漏洞。在部署和发布阶段,PAAS层软件未做安全性配置,就可能带来安全隐患。如非必要使用root权限启动服务、不设置账密、使用默认账密等。
所以说,从安全的角度来看研发,至少要关注架构、编码和配置三方面的问题。
长按识别二维码,和我交流
More...
-- 深耕研发安全 --
-- SDL 100问 --
-
SDL100问:我与SDL的故事 -
SDL 1/100问:SDL与DevSecOps有何异同? -
SDL 2/100问:如何在不同企业实施SDL? -
SDL 3/100问:SAST误报太高,如何解决? -
SDL 4/100问:SDL需要哪些人参与? -
SDL 5/100问:在devops中做开发安全,会遇到哪些问题? -
SDL 6/100问:如何实施安全需求? -
SDL 7/100问:安全需求,有哪些来源? -
SDL 8/100问:安全需求怎么实现自动化? -
SDL 9/100问:实施安全需求,会遇到哪些难题? -
SDL 10/100问:安全需求和安全设计有何异同及关联? -
SDL 11/100问:设计阶段应开展哪些安全活动? -
SDL 12/100问:有哪些不错的安全设计参考资料? -
SDL 13/100问:安全设计要求怎么做才能落地? -
SDL 14/100问:有哪些威胁建模方法论? -
SDL 15/100问:有哪些威胁建模工具? -
SDL 16/100问:如何开始或实施威胁建模? -
SDL 17/100问:威胁建模和架构安全评审,有何异同? -
SDL 18/100问:编码阶段,开展哪些安全活动? -
SDL 19/100问:如何选择静态代码扫描(SAST)工具? -
SDL 20/100问:如何选择开源组件安全扫描(SCA)工具? -
SDL 21/100问:SCA工具扫描出很多漏洞,如何处理? -
SDL 22/100问:SCA工具识别出高风险协议,如何处理? -
SDL 23/100问:如何制定一份有用的开发安全规范? -
SDL 24/100问:如何做到开发安全规范的有效实施? -
SDL 25/100问:应该如何选型代码安全扫描工具? -
SDL 26/100问:代码安全扫描应该设置哪些指标? -
SDL 27/100问:如何提升开发人员的安全意识? -
SDL 28/100问:在编码阶段加入安全检查后,如何处理带来的时间压力? -
SDL 29/100问:白盒检测工具存在局限性,如何进行补偿?
-- 软件供应链对抗探索 --
--------- 实战演习 ---------
--------- 安全运营 ---------
--------- 软件安全 ---------
--------- 企业安全 ---------
--------- 渗透测试 ---------
--------- 安全开发 ---------
--------- 个人体验 ---------
原文始发于微信公众号(我的安全视界观):从安全视角,看研发安全
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论