点击蓝色

关注我们

大家好， 我是《Burpsuite实战指南》的作者，正在着手2024版的修订稿编写，欢迎关注我。

SDL（安全开发生命周期）和DevSecOps是两种不同的方法，用于在软件开发过程中整合安全措施，但它们在实施方式和重点上存在显著差异。

1. 定义与目标：

• SDL：SDL是由Microsoft开发的一个框架，旨在管理应用程序的安全性。它通常包括额外的安全活动、对现有活动的修改以及应影响现有决策的安全标准。SDL的主要目标是在软件开发的早期阶段就识别和修复安全漏洞，以减少后期修复成本。

• DevSecOps：DevSecOps是一种组织性的软件工程文化和实践，旨在将软件开发（Dev）、安全（Sec）和运维（Ops）统一起来。其核心是通过自动化、监控和应用安全措施，在软件生命周期的各个阶段（如规划、开发、构建、测试、发布等）来提高客户结果和任务价值。

2. 实施方式：

• SDL：SDL通常被视为一个独立的生命周期，影响应用程序生命周期、员工生命周期和项目或合同生命周期。它强调在开发交付之前预防安全漏洞或在最近的交付中检测到它们。

• DevSecOps：DevSecOps则更注重将安全措施嵌入到软件开发的每个阶段，并通过自动化测试和监控来实现安全目标。例如，在DevSecOps中，测试和安全工作被提前到左侧，通过自动化的单元、功能、集成和安全测试来实现。

3. 重点与方法：

• SDL：SDL更侧重于在开发过程中添加额外的安全活动，以确保在交付之前发现并修复安全漏洞。这种方法通常需要改变现有的实践和流程。

• DevSecOps：DevSecOps则强调在整个软件开发生命周期中持续集成和自动化安全措施。它采用迭代和增量的方法，通过频繁的交付和快速反馈来提高软件质量和安全性。

总结来说，SDL更多地关注在开发过程中嵌入安全措施，而DevSecOps则是一种全面整合安全、开发和运维的实践，通过自动化和持续监控来提升整体安全性。两者虽然都旨在提高软件的安全性，但DevSecOps的方法更为广泛且系统化，而SDL则更侧重于早期预防和修复。

SDL（Secure Development Lifecycle，安全开发生命周期）和DevSecOps（Development and Security Operations，开发与安全运维）在实际应用中有很多案例研究，这些案例展示了它们如何在不同企业中被实施和优化。

1. 平安银行的实践：平安银行实施了“安全开发生命周期（S-SDLC）+需求研发管理工具+安全运营平台”的组合控制安全开发流程。这个流程包括安全培训、安全评审、安全设计、安全编码等环节，确保在整个开发过程中严格控制安全风险。

2. 长亭科技的“安全左移”方案：长亭科技在其SDL建设中采用了“安全左移”方案，通过被动代理模式将洞鉴（X-Ray）嵌入SDL功能测试阶段，以优化客户的SDL流程

3. 微软的SDL模型：微软自2004年起开始实行SDL模型，并将其作为软件开发的强制策略。SDL模型主要用于指导企业研发管理体系的完善和融合，帮助企业构建更安全的软件

4. 腾讯云的安全开发生命周期体系：腾讯云通过实施SDL，可以在软件的整个生命周期中识别和修复安全漏洞。该体系涵盖了从规划到实施和持续改进的各个阶段，提供了丰富的细节和实用的操作建议

5. 互联网和金融企业的应用：越来越多的互联网企业和金融类企业也开始实施SDL。例如，当产品的某项安全指标没有达到要求时，质量部门有权否决产品的上市发布或上线

携程在其SQL注入检测方面采用了白名单和黑名单两种规则，并使用SQL语句结构树来提高准确率。此外，他们还开发了内部漏洞管理平台，对漏洞进行跟踪、统计和复盘，以实现全生命周期管理。该平台每周可扫描约3万个任务，安全评审100次，内部发现的漏洞占总数的95%以上，其中99%以上由工具自动发现，闭环率达到100%。携程将DevSecOps嵌入CI/CD流程中，减少对开发流程的阻碍，并利用多种自动化测试工具促进安全与业务研发之间的紧密合作。

在SDL安全开发全流程赋能平台中，安全团队进行了自动化轻量级威胁建模功能的开发。源代码安全扫描（SAST）在DevOps过程中的检测点主要有：开发人员本地源代码安全检测、代码提交时进行源代码安全检测、CI构建过程中进行源代码安全扫描。最初采用商业工具Fortify及Appscan Source，但因误报太多及扫描速度太慢的问题，最终转而使用开源SonarQube+Find Security Bugs插件。

在携程的实践中，还包括了开源组件安全扫描（SCA）、交互式应用安全测试（IAST）、越权检测、数据库审计以及漏洞全生命周期管理等实践。这些措施帮助企业在DevSecOps中实现更高效的自动化管控能力。

安全团队与质量团队合作，对应用程序进行分类和评级，并根据不同系统制定不同的安全策略。这涉及将安全活动嵌入项目工作流程中，包括轻量级威胁建模、调查问卷、攻击面分析、威胁识别和安全设计方案等。

在现有的开发流程中实施DevSecOps需要从文化、流程和技术三个方面入手，以确保安全能够无缝地融入到软件开发和运维的各个环节中。

企业需要进行安全文化的变革。通过意识宣贯和安全培训等手段，让每个人都对安全负责，从而支持更严格的安全策略执行。这种文化变革是DevSecOps成功的关键，因为只有当所有团队成员都认识到安全的重要性并积极参与其中时，才能真正实现安全的内嵌。

企业需要在软件开发的早期阶段就介入安全工作，将安全能力内建到开发的持续集成和持续部署（CI/CD）工具链中。这被称为“安全左移”，即尽早发现并修复安全问题，以降低成本。通过这种方式，可以在软件开发生命周期的早期阶段识别和解决潜在的安全风险，从而避免在后期进行昂贵的补救措施。

此外，企业应该选择合适的工具来实现DevSecOps的自动化和持续监控。例如，可以通过配置和监控工具来实现持续集成和交付或持续部署/持续分发的管道流程。这些工具可以帮助捕获有关基础设施更改的自动化事件/通知，并采取相应的行动（如检测、警报、补救措施等），从而确保在部署后仍能保持已批准的配置。

同时，DevSecOps强调“人人参与安全”，即所有与软件研发有关的人员都是安全的主体，需要共同为软件安全负责。这意味着不仅开发和运维团队需要参与，安全部门也需要与他们紧密合作，以确保安全措施的有效实施。

企业应该结合自身的开发流程制定适合自己的DevSecOps体系。这可能包括采用最小化产品（MVP）的方法论，以快速进入反馈循环过程，并通过迭代和增量的方式逐步完善安全措施。

DevSecOps是一种将开发、安全和运维紧密结合的软件开发理念，旨在通过自动化和跨职能团队协作来提高软件交付的速度和安全性。以下是DevSecOps的最佳实践和工具：

最佳实践

1. 持续集成与持续交付（CI/CD）：

• DevSecOps强调在软件生命周期的早期阶段设置测试通过和失败标准，并使用自动化流程检查这些标准是否得到满足，从而确保可靠的软件交付。

• CI/CD流程包括自动化代码集成、构建和测试等重复活动，以减少人为错误并提高过程的快速性和可靠性。

2. 基础设施即代码（IaC）：

• 使用IaC来管理基础设施配置，确保环境的一致性和可重复性，从而降低人为错误并提高安全性。

3. 安全测试：

• 在开发过程中嵌入安全测试，如静态应用安全测试（SAST）、动态应用安全测试（DAST）和交互式应用安全测试（IAST），以识别和修复潜在的安全漏洞。

4. 最小权限原则：

• 实施最小权限原则，确保每个用户或系统组件只拥有完成其任务所需的最小权限，从而降低潜在的安全风险。

5. 威胁建模：

• 在开发前进行威胁建模，识别和消减安全威胁，如STRIDE模型所提出的“STRIDE”或轻量级的威胁建模。

6. 安全即代码（Security as Code）：

• 创建“安全即代码”的文化，使安全实践成为开发过程的一部分，确保安全措施与代码同步更新。

推荐工具

1. 静态应用安全测试（SAST）工具：

• 如Coverity® SAST、Black Duck® SCA Risk Alerts等，用于在代码编写阶段检测潜在的安全漏洞。

2. 动态应用安全测试（DAST）工具：

• 如WhiteHat TMSAST，用于在应用程序运行时检测安全漏洞。这类产品，国内有很多厂商。

3. 交互式应用安全测试（IAST）工具：

• 如 IAST产品，结合了黑盒与白盒的优势，能够监控数据流信息并产生告警。这类产品，国内有也有几个厂商的解决方案。

4. 自动化工具链：

• 包括Code SightTM IDE Plugin等工具，用于提升代码开发阶段的安全品质，并在部署和上线阶段持续监控效能与威胁。

5. 智能安全DevSecOps态势感知平台：

• 提高DevSecOps安全运营效率，通过分析内部用户行为和应用安全工程中台来提升整体安全性。

6. 度量指标和评估工具：

• 制定DevSecOps过程中的度量指标，衡量项目的安全成熟度，评估软件的安全性。

要量化SDL（Security Development Lifecycle，安全开发生命周期）与DevSecOps在提高软件安全性方面的效果对比，我们可以从以下几个方面进行分析：

1. 安全性能指标：首先，可以通过比较两种方法在实际应用中的安全性能指标来进行量化。这些指标可能包括缺陷密度（缺陷/千行代码）、平均失效时间（MTTF）、安全漏洞修复时间等。例如，基于SDL的安卓软件高可靠性开发模型在可靠性、缺陷/千行代码、平均失效时间等参数性能上显著优于典型的安卓软件瀑布开发模型。

2. 成本效益分析：其次，可以对两种方法的成本效益进行比较。这包括开发成本、维护成本以及因安全问题导致的潜在损失。SDL通过系统化的安全测试思想可以有效地降低软件成型后的测试成本，减少测试后补丁的研发数

3. 用户满意度和市场接受度：用户满意度和市场接受度也是衡量软件安全性效果的重要指标。可以通过调查或市场研究来获取这些数据，了解用户对采用SDL或DevSecOps开发的软件的满意度。

4. 实施复杂度和灵活性：比较两种方法在实施过程中的复杂度和灵活性。DevSecOps强调将安全实践融入到软件开发的每一个阶段，而SDL则是在软件开发的不同阶段实施特定的安全措施。DevSecOps可能在更灵活地适应快速变化的技术环境中表现更好，而SDL可能在需要严格遵循安全标准的环境中更为有效。

5. 案例研究和实证研究：通过具体的案例研究和实证研究来评估两种方法的实际效果。例如，可以研究特定行业或项目中采用SDL或DevSecOps后的安全性能变化。

通过上述方法，我们可以从多个维度对SDL与DevSecOps在提高软件安全性方面的效果进行量化对比。

参考资料：

• 1. DevSecOps基本概念介绍原创 [2023-09-11]

• 2. 什么是 DevSecOps？- 知乎专栏

• 3. 什么是 DevSecOps？| DevSecOps 全面指南 - Elastic

• 4. 从SDL到DevSecOps：腾讯云是如何更早地收敛安全漏洞的？[2020-06-09]

• 5. 安全至上：落地DevSecOps最佳实践你不得不知道的工具 [2022-07-29]

• 6. CSA发布| DevSecOps的六大支柱：自动化

• 7. 用开源工具搭建DevSecOps完全指南 [2023-05-26]

• 8. 《DevSecOps领导者指南》全文中文翻译 (附下载) - 安全内参

关注【Burpsuite实战教程】，每天给自己加一点油👇

分享、点赞、在看，3连3连！

原文始发于微信公众号（BurpSuite实战教程）：面试题：SDL与DevSecops的区别