安全芝士局高阶版栏目《芝士官来了》第二期已于近日播出,默安科技资深开发安全架构专家王贺围绕“开发安全落地过程中的技术运营实践”的主题,从开发安全运营体系给企业带来的效益、体系建立前的准备工作、工具链集成的简单高效实施之道、体系建设效果如何量化,以及运营过程中主要面临的问题等五个方面展开分享。
图 默安科技资深开发安全架构专家王贺
扫码关注默安科技视频号
即可查看第二期直播回放
↓ ↓ ↓
01
企业为什么要构建开发安全运营体系?
一是通过优化安全工具、规则、流程和业务,从根源上减少软件开发过程中产生的漏洞,降低业务上线之后的漏洞修复成本。
二是满足《网络安全法》、《个人信息保护法》、《网络安全等级保护条例》等法律法规和供应链安全相关法规,以及行业的安全标准中的规则和要求,并将其落实到开发安全运营体系中。
三是通过工具引擎平台化、安全能力流程化和漏洞流转标准化,帮助企业降低应用安全的建设成本,提升安全运营效率。
02
建立开发安全运营体系要做哪些准备?
第一,明确规划的最终目标和指标,也就是通过建立开发安全运营体系最终要实现哪些效果。
第二,确认对业务和其他体系(性能、功能、自动化、运维等)的影响阈值。
第三,调研目标组织架构和已有开发体系的建设情况,针对不同的开发体系去做对应的开发安全建设。
第四,需要确认整个项目实施的需求和细节,包括每个阶段的建设需要上哪些工具、有哪些目标、需要配置哪些资源等。
03
工具链集成过程中,怎么实施才能简单高效?
第一步,选择适合自己业务架构的开发安全工具和平台,比如常见的漏洞流转平台像Jira、禅道,CI/CD流水线构建使用的平台,还有目前的开发能力适合选择的部署架构。
第二步,选择适合自己业务属性的检测引擎,包括灰盒检测工具IAST、黑盒检测工具DAST、软件成分分析工具SCA、白盒检测工具SAST、威胁建模分析工具STAC等。
第三步,选择适合自己业务属性的漏洞类型,包括防重放场景、分布式场景、边缘计算场景、智能化场景等。
第四步,选择适合自己技术能力的运营架构,涉及到k8s(kubernetes),私有云、公有云或者混合云等场景,不同的技术栈或者不同的安全人员等。
04
运营体系建设过程中,如何量化建设效果?
首先,确认量化指标,比如中高危漏洞数量、安全能力投入成本、应急响应成本等。
其次,确认量化模型,包括使用什么数据量化、怎么加权取值等。
最后,通过量化指标和量化模型进行分阶段、分环境的统计。
05
运营过程中主要面临哪些问题?怎样化解?
怎么让漏洞检出率提高,误报率下降?
一方面,调研统计开发使用了哪些过滤函数,并将其加入到开发安全检测引擎中,让这些过滤函数可以被引擎识别出来;另一方面,制定消除误报的机制,当开发使用了新的框架,或者在IAST、SAST中发现了新的框架,及时在流程上通知开发,或者让开发提供对应的过滤函数去做一些管控。
怎么和第三方系统对接?
需要开发定制化的框架,提前调研接口数据及开发安全流程,在定制化的框架里,把对应的流程和逻辑写进去,甚至可以做成插件式的,把接口预先埋好,把规则加进去,这样就能和第三方系统完整地进行对接。
如何形成常态化的策略优化能力?
细化整个开发流程的切面,统筹数据规则,通过原先设计好的技术运营框架的接口,把对应的规则输入到各种产品中,接下来做对应的规则验证,确认规则是否有效,以此帮助企业形成常态化的开发安全策略优化能力。
如何保持良好的组织间协调能力?
首先,不能对业务或其他角色造成隐患;其次,在构建过程中,需要有意识地帮助整个体系构建方或者发起方提升安全能力;最后,要遵循减少对业务影响的原则,去做相关的组织协调。
附《芝士官来了》第三期预告:
第三期邀请到默安科技安全开发工程师李豆豆,结合在开发安全体系实施与落地的丰富经验,和大家聊一聊开发安全建设之持续集成与交付(CI/CD)。
赶快扫描下方二维码,预约直播吧!
芝士官来了
《芝士官来了》是由默安科技全新出品的安全芝士局高阶版栏目,节目会定期邀请一线资深安全专家,围绕企业在安全建设中遇到的问题,展开实践干货和经验分享,欢迎各位小伙伴扫码添加安小默微信,安小默将邀请您加入交流群,与从业人员共同交流进步~
添加安小默微信进群