《芝士官来了》第二期要点提炼与下期精彩预告：继续讲透开发安全

安全芝士局高阶版栏目《芝士官来了》第二期已于近日播出，默安科技资深开发安全架构专家王贺围绕“开发安全落地过程中的技术运营实践”的主题，从开发安全运营体系给企业带来的效益、体系建立前的准备工作、工具链集成的简单高效实施之道、体系建设效果如何量化，以及运营过程中主要面临的问题等五个方面展开分享。

图 默安科技资深开发安全架构专家王贺

扫码关注默安科技视频号

即可查看第二期直播回放

↓ ↓ ↓

01

企业为什么要构建开发安全运营体系？

一是通过优化安全工具、规则、流程和业务，从根源上减少软件开发过程中产生的漏洞，降低业务上线之后的漏洞修复成本。

二是满足《网络安全法》、《个人信息保护法》、《网络安全等级保护条例》等法律法规和供应链安全相关法规，以及行业的安全标准中的规则和要求，并将其落实到开发安全运营体系中。

三是通过工具引擎平台化、安全能力流程化和漏洞流转标准化，帮助企业降低应用安全的建设成本，提升安全运营效率。

02

建立开发安全运营体系要做哪些准备？

第一，明确规划的最终目标和指标，也就是通过建立开发安全运营体系最终要实现哪些效果。

第二，确认对业务和其他体系（性能、功能、自动化、运维等）的影响阈值。

第三，调研目标组织架构和已有开发体系的建设情况，针对不同的开发体系去做对应的开发安全建设。

第四，需要确认整个项目实施的需求和细节，包括每个阶段的建设需要上哪些工具、有哪些目标、需要配置哪些资源等。

03

工具链集成过程中，怎么实施才能简单高效？  

第一步，选择适合自己业务架构的开发安全工具和平台，比如常见的漏洞流转平台像Jira、禅道，CI/CD流水线构建使用的平台，还有目前的开发能力适合选择的部署架构。

第二步，选择适合自己业务属性的检测引擎，包括灰盒检测工具IAST、黑盒检测工具DAST、软件成分分析工具SCA、白盒检测工具SAST、威胁建模分析工具STAC等。

第三步，选择适合自己业务属性的漏洞类型，包括防重放场景、分布式场景、边缘计算场景、智能化场景等。

第四步，选择适合自己技术能力的运营架构，涉及到k8s（kubernetes），私有云、公有云或者混合云等场景，不同的技术栈或者不同的安全人员等。

04

运营体系建设过程中，如何量化建设效果？  

首先，确认量化指标，比如中高危漏洞数量、安全能力投入成本、应急响应成本等。

其次，确认量化模型，包括使用什么数据量化、怎么加权取值等。

最后，通过量化指标和量化模型进行分阶段、分环境的统计。

05

运营过程中主要面临哪些问题？怎样化解？  

怎么让漏洞检出率提高，误报率下降？

一方面，调研统计开发使用了哪些过滤函数，并将其加入到开发安全检测引擎中，让这些过滤函数可以被引擎识别出来；另一方面，制定消除误报的机制，当开发使用了新的框架，或者在IAST、SAST中发现了新的框架，及时在流程上通知开发，或者让开发提供对应的过滤函数去做一些管控。

怎么和第三方系统对接？

需要开发定制化的框架，提前调研接口数据及开发安全流程，在定制化的框架里，把对应的流程和逻辑写进去，甚至可以做成插件式的，把接口预先埋好，把规则加进去，这样就能和第三方系统完整地进行对接。

如何形成常态化的策略优化能力？

细化整个开发流程的切面，统筹数据规则，通过原先设计好的技术运营框架的接口，把对应的规则输入到各种产品中，接下来做对应的规则验证，确认规则是否有效，以此帮助企业形成常态化的开发安全策略优化能力。

如何保持良好的组织间协调能力？

首先，不能对业务或其他角色造成隐患；其次，在构建过程中，需要有意识地帮助整个体系构建方或者发起方提升安全能力；最后，要遵循减少对业务影响的原则，去做相关的组织协调。

附《芝士官来了》第三期预告：

第三期邀请到默安科技安全开发工程师李豆豆，结合在开发安全体系实施与落地的丰富经验，和大家聊一聊开发安全建设之持续集成与交付（CI/CD）。

赶快扫描下方二维码，预约直播吧！

芝士官来了

《芝士官来了》是由默安科技全新出品的安全芝士局高阶版栏目，节目会定期邀请一线资深安全专家，围绕企业在安全建设中遇到的问题，展开实践干货和经验分享，欢迎各位小伙伴扫码添加安小默微信，安小默将邀请您加入交流群，与从业人员共同交流进步~

添加安小默微信进群