数字化转型下的研发安全痛点

很久以前，就想写一篇关于SDL与DevSecOps的文章，但疏于实践一直未能动笔。想写的原因很简单，因为总是听到有人说SDL落后、DevSecOps相关技术更高超。一提到研发安全建设，不分研发模式都在赶时髦一样地说DevSecOps。从我的观察来看，不结合研发模式来做研发安全，都是不成功的。

在数字化浪潮的推动下，一些公司已经完全步入DevOps模式，有的则出现瀑布、敏捷或DevOps并存，且后者是居多的。所以如何在多种研发模式下进行有效的研发安全建设，成为一个必须解决的难题。经过近十年的实践，终于在探索解法上有一点点收获与经验，于是有了“深耕研发安全”这一系列文章。

本文是开篇，介绍在数字化转型过程中，研发安全的工作模式与方法的迭代升级。从研发安全体系建设的角度出发，总结出难度比较大的三个典型问题。

01 市场侧的快速交付需求

       ———————————

市场需求不断变化，商机一瞬即逝。产品为实现抢占市场的需求，要求背后的研发和交付团队能够快速响应，对于安全团队来讲也是一样的。但纵观整个公司来看，有的业务严格按照瀑布开发计划执行、研发周期很长，有的业务又没有快速部署的需求，于是就出现了多种开发模式并存的状态：    

（图片创意来自互联网）

三种主要模式的区别如上图所示，表面上在于研发阶段所占时长、顺序的不一样，往里看还有研发、运维团队工作模式、研发工具的差异，这给安全工作带来了很大的挑战。          

02 技术发展带来的多样化  

       ———————————

其次是技术发展带来一些变化，很多年前在说PHP是最好的语言，现在很多大型的业务网站其实都还是Java，不过Go的应用也非常广泛。公司内部的研发技术栈，基本符合外部的趋势。但除了这三个外，主流语言还有C、C++、C#、Python，内部使用的语言还有ruby、rust、swift、Visual Basic...

（图片创意来自互联网）

于是就出现了第二个比较大的挑战，表面看是研发语言种类很多，往里看则是开发框架、人员技能的差异。相关的安全工作开展，如安全组件、编码安全规范、静态代码扫描工具、开源组件安全管理、安全人员能力...也随之变得复杂。

03 研发基础设施的不统一  

       ———————————

第三是研发基础设施没有完全统一，比如由于历史原因产品线各自管理代码和发布系统，公司层面缺少强有力的配置管理团队做全局管控...就会在出现各种代码管理工具、各类构建和发布系统。表面上看是研发工具多种多样，往里看则是研发流程（CI&CD）的不一样。

对于安全测试工具嵌入不同的流程，同样带来了巨大的麻烦。  

上述的每一个问题，都是安全团队遇到的痛点。当这些点都集中在一块儿时，困难好比是一个类似乘积的关系，瞬间被放大了很多倍。感觉遇到了一种混沌的状态，安全工作没有了抓手，甚至是无从下手。    

---

长按识别二维码，和我交流

More...

-- SDL 100问 --

• SDL100问：我与SDL的故事

• SDL 1/100问：SDL与DevSecOps有何异同？

• SDL 2/100问：如何在不同企业实施SDL？

• SDL 3/100问：SAST误报太高，如何解决？

• SDL 4/100问：SDL需要哪些人参与？

• SDL 5/100问：在devops中做开发安全，会遇到哪些问题？

• SDL 6/100问：如何实施安全需求？

• SDL 7/100问：安全需求，有哪些来源？

• SDL 8/100问：安全需求怎么实现自动化？

• SDL 9/100问：实施安全需求，会遇到哪些难题？

• SDL 10/100问：安全需求和安全设计有何异同及关联？

• SDL 11/100问：设计阶段应开展哪些安全活动？

• SDL 12/100问：有哪些不错的安全设计参考资料？

• SDL 13/100问：安全设计要求怎么做才能落地？

• SDL 14/100问：有哪些威胁建模方法论？

• SDL 15/100问：有哪些威胁建模工具？

• SDL 16/100问：如何开始或实施威胁建模？

• SDL 17/100问：威胁建模和架构安全评审，有何异同？

• SDL 18/100问：编码阶段，开展哪些安全活动？

• SDL 19/100问：如何选择静态代码扫描(SAST)工具？

• SDL 20/100问：如何选择开源组件安全扫描(SCA)工具？

• SDL 21/100问：SCA工具扫描出很多漏洞，如何处理？

• SDL 22/100问：SCA工具识别出高风险协议，如何处理？

• SDL 23/100问：如何制定一份有用的开发安全规范？

• SDL 24/100问：如何做到开发安全规范的有效实施？

• SDL 25/100问：应该如何选型代码安全扫描工具？

• SDL 26/100问：代码安全扫描应该设置哪些指标？

• SDL 27/100问：如何提升开发人员的安全意识？

• SDL 28/100问：在编码阶段加入安全检查后，如何处理带来的时间压力？

• SDL 29/100问：白盒检测工具存在局限性，如何进行补偿？

-- 软件供应链对抗探索 --

• 1 软件供应商面临的攻防实战风险

• 2 软件供应商实战对抗十大安全举措

• 3 软件供应商攻防常规战之SDL

--------- 实战演习 ---------

• 1 何为多维度的视角

• 2 关于对演习的期望

• 3 公司层面统筹布局 

• 4 实战攻防演习下的产品安全保障 

• 5 产品安全事件定级评分方法

• 6 演习前红队暗泉涌动投毒

• 7 面向情报公司付费信息的应急

• 8 面向互联网侧情报信息的应急

• 9 客户侧产品推送样本事件处置

• 10 某邮箱被攻击情报的自我检查

• 11 办公网出口地址攻击客户蜜罐

• 12 SRC白帽子突破边界进业务网

• 13 某部门下发零日漏洞确认函处置

• 14 公司溯源团队查到团队内部成员

• 15 演习后对工作技能的复盘总结

• 16 演习后认知外的见微知著

--------- 安全运营 ---------

• 安全事件运营SOP：软件供应链投毒事件

• 安全事件运营SOP：接收漏洞事件

• 安全事件运营SOP：webshell事件

• 安全事件运营SOP：蜜罐告警

• 安全事件运营SOP：网络攻击

• 安全事件运营SOP：钓鱼邮件

• 安全事件运营SOP：基于实践的安全事件简述

• 企业级供应链投毒应急安全能力建设

• 应急能力提升：实战应急困境与突破

• 应急能力提升：挖矿权限维持攻击模拟

• 应急能力提升：内网横向移动攻击模拟

• 应急能力提升：实战应急响应经验

• 应急能力提升：应急响应报告点评

• 应急能力提升：应急响应专题总结会

• 应急响应：redis挖矿（防御篇）

• 应急响应：redis挖矿（攻击篇）

• 应急响应：redis挖矿（完结篇）

--------- 软件安全 --------- 

• 开篇

• 安全培训

• 安全需求

• 安全设计

• 安全开发

• 安全测试

• 安全审核

• 安全响应

• 完结篇（全系列paper下载）

• 浅谈安全产品的hvv安全之道

• Shift Left在开发安全中的应用

--------- 企业安全 ---------

• 企业安全建设需求

• 企业安全威胁简述

• 企业安全架构建设

• 企业安全项目-测试环境内网化

• 企业安全项目-Github信息泄露

• 企业安全项目-短信验证码安全

• 企业安全项目-前端绕过专项整改

• 业务安全之另类隐患

• 应用发布之安全隐患

• 甲方眼里的安全测试

• 基于堡垒机的自动化功能实践1****

• 基于堡垒机的自动化功能实践2

• 基于堡垒机的自动化功能实践3

• 基于堡垒机的自动化功能实践4

• Nmap操作系统探测技术浅析

• 漏洞情报调研

• 漏洞调研报告（非完整版）

• 从漏洞视角看敏捷安全

--------- 渗透测试 ---------

• 安全运维那些洞

• 安全业务那些洞

• 那个简单的威胁情报

• Android APP数据存储安全

• 搜集SRC信息中的“技术活儿”

• 常规渗透瓶颈，发散思维突破 

--------- 安全开发 ---------

• python武器库

• 漏洞扫描器资产处理

• python代码审计武器I

• python代码审计武器II

• Nodejs代码审计武器

• fortify漏洞的学习途径

--------- 个人体验 ---------

• 如何学习这么多的安全文章（实践篇）

• 如何学习这么多的安全文章（理论篇）

• 漫谈在安全公司做内部安全的体验

• C3安全峰会参后感

• 提高认知效率秘籍

• 向上型技术人的职业素养

• 关于勇气的一次突破

• 推荐：探索精神和财富自由之路