对于组织来说,一个成熟可落地的SDLC流程,可以帮助他们简化开发流程。同时,日益复杂的业务风险和数量使得有必要将安全性集成到软件开发生命周期(SDLC) 的所有阶段,从而使其成为安全的SDLC。
将一个SDLC流程运转落地需贯穿业务、开发、基础运维、安全等多个部门,也需要做好安全工作与业务开发流程的埋点衔接,才能将关键节点做到自动化流转并平稳跑通,华泰证券在落地践行整个DevSecOps体系的过程中,基于自身业务工作流特征,持续优化迭代运营流程,最终实现了SDLC流程的高效运转,打造了又一个行业性的标杆示范项目。
01
为什么需要一个完整可落地的SDL方案
华泰证券现已建立起自身的安全运营体系,用以抵御突发的安全需求,形成以态势感知为全局之眼的纵深防御体系。
**安全是动态的,对抗的,风险是持续产生的。**在防御体系基本搭建完成后,华泰证券再进阶,澄源正本,从内部生产的源头减少业务系统的脆弱性。目标锁定在DevSecOps理念,将应用程序安全性融合到DevOps和敏捷流程中,能够在系统发布前第一时间发现漏洞缺陷,让它们更快、更好、更全地被修复,从而解决很多继发的安全问题。
02
通过自研SDL平台跑通DevSecOps流程
在前期的准备工作中,华泰证券已建立完善的DevSecOps体系,基于打磨多年的自研SDL平台,在平台中嵌入自动化的检测工具,并匹配漏洞检测运营工作流剧本,实现上线前检测以及日常漏洞扫描运营工作的自动化运转。
基于SDL平台实现的动态应用安全测试流转示意图
以动态应用安全测试为例,我们可以看到(如上图),平台通过嵌入的安全工具,几乎以全自动化测试流转即可完成定级筛选、测试发起、任务新建、漏洞发现、结果输出、跟踪修复。
为了能够顺利跑通这样的流程,华泰证券在安全开发体系运营工作中,结合自身实际安全测试工作需要,以及自动化工作理念,形成了一套完整的DevSecOps体系,体系建设可以简单的划分为两个部分:平台建设和工作流建设。
0****1
DevSecOps平台能力建设
华泰证券自研三叉戟SDL平台,实现将上线前工作流全部集成。包括开发测试人员上线前提单测试、安全部门人员审批、开发测试人员触发测试、漏洞结果确认、漏洞修补分发、漏洞修复跟踪、漏洞复测、上线前工单闭环等工作环节,均已在SDL平台中实现集成。同时SDL平台无缝嵌入SCA、IAST、DAST(洞鉴(X-Ray)安全评估系统)、SAST等工具,实现在系统上线前实现自动化的多维度、多角度、多方式的安全测试。
同时SDL平台对接华泰证券ITSM(IT信息管理系统)、通讯工具、CMDB等内部系统,实现资产、漏洞、消息等相关漏洞运营数据的自动化流转。内部系统嵌入后,只需要匹配不同的场景流程剧本,即可以最终达成日常工作过程可跟踪、结果可追溯、行为可审计的目标,实现单位内开发、安全和运营的自动、沟通、协作与整合。
以洞鉴(X-Ray)为例,工具的嵌入部署与工作图示
0****2
DevSecOps工作流建设
上线前测试工作流:
功能测试完成后,开发测试人员在SDL平台中填写测试系统信息,选择需要启动的检测方式,包括组件检测、代码检测、灰盒测试、源代码检测。需要灰盒测试时点击开始任务,SDL根据填写信息调用SDL平台中的ASOC拉起洞鉴(X-Ray)扫描任务,测试人员下载EXE插件将本地代理设置完成(内置设置任务超时时间,EXE插件关闭后,将状态同步给工具关闭任务,SDL活动下设置任务关闭开关)。
然后洞鉴(X-Ray)进行增量功能的漏洞扫描,SDL调用自动化扫描平台(ASOC)过滤扫描结果,将安全部门自定义的漏洞威胁级别、内容、修复建议提取,并根据华泰证券内部自定义的威胁级别进行修复跟踪。
日常运营扫描工作流:
日常运营扫描分每周漏洞扫描和应急漏洞扫描,运营人员在SDL平台中录入IP、端口或URL等系统信息。同时根据华泰证券单位内资产组件情况,挑选其关注的有风险漏洞,在SDL平台中发起扫描任务。
SDL平台调用洞鉴(X-Ray)安全评估系统API,进行扫描任务下发,以及相应任务扫描结果信息获取。安全人员在SDL平台中评估漏洞准确性以及风险,并将漏洞工单分发给相应资产责任人。资产责任人接收工单,根据漏洞风险级别进行限期处理,高风险漏洞24小时内修复完毕,中低风险漏洞1周内修复完毕,修复完毕后SDL平台中提交复测核验。安全人员使用SDL平台进行复测核验,复测确认修复则进行工单关闭,确认未修复则将工单转回资产责任人重新修复处理。
工作流图示
在整个SDL平台中,两个工作流独立并行,共用洞鉴(X-Ray)安全评估系统的风险发现能力,并能够将所有的漏洞结果统一汇总,为华泰证券的安全运营人员展示出全局的漏洞风险分析结果。整套体系的运行可实现1天内完成上线前检测所有工作。
03
探索创新,将「蓝军武器」能力融入方案
在企业内部风险发现能力建设过程中,双方还探索性的提出了将**「蓝军武器」的能力融入SDL方案。**
**华泰证券拥有一支专业的蓝军队伍,需要进行外部攻防比赛、参与攻防演练工作,基于此,**在蓝军人员电脑中,安装洞鉴(X-Ray)安全评估系统,作为蓝军人员个人的主要Web应用漏洞挖掘工具,建立起华泰证券自己的专业蓝军武器库。
蓝军在日常对内系统做渗透测试时,利用洞鉴(X-Ray)安全评估系统的代理扫描功能,将浏览器代理设置为Burpsuit代理,蓝军人员在做日常的测试的同时,再将Burpsuit的代理设置成洞鉴(X-Ray)安全评估系统。洞鉴(X-Ray)安全评估系统会对当前蓝军测试的页面,进行单独扫描。最终蓝军将整体测试结果录入到SDL平台中,并在SDL平台中下发漏洞修复工单给资产责任人,最终在SDL平台中实现渗透测试漏洞的闭环管理。
04
在流程中持续迭代,持续转动
在整体方案交付过程中,长亭洞鉴(X-Ray)安全评估系统满足客户对每一个关键节点的需求,使得整个流程可以高度自动化的落地,并以产品扎实的基本功保障风险发现的覆盖面与精准度。
0****1
精准扫描:洞鉴(X-Ray)拥有多种自研算法和漏洞库来保障Web应用漏洞扫描的检出率和准确率,内置千余个高质量POC,并能实现万余类主机服务、应用指纹、Web资产的识别。
0****2
自动化:洞鉴(X-Ray)容器化产品底座兼容多种环境要求,分布式部署兼容多任务及区域扫描环境,被动代理扫描兼容SDL场景,全功能开发OpenAPI,可为SDL平台实现完全自动化调度。融合客户现有SDL平台或工作流,实现多种工作要求组合,深度融合现有使用场景要求。
0****3
可查可验:产品内置丰富的漏洞描述及修复建议,丰富的漏洞扫描验证描述,以及完善、切实可行的漏洞修复建议。大量减少了安全运营工作人员漏洞测试、漏洞复核、漏洞修复等环节的工作量。
在双方达成合作的一年中,洞鉴(X-Ray)已平滑嵌入华泰证券的DevSecOps体系,并在SDL流程中发起千余次的扫描任务,真正实现了上线前测试的全自动化,并在合作期间持续迭代,使其成为华泰证券专业安全工具中的“瑞士军刀”。
