很久以前,就想写一篇关于SDL与DevSecOps的文章,但疏于实践一直未能动笔。想写的原因很简单,因为总是听到有人说SDL落后、DevSecOps相关技术更高超。一提到研发安全建设,不分研发模式都在赶时髦一样地说DevSecOps。从我的观察来看,不结合研发模式来做研发安全,都是不成功的。
在数字化浪潮的推动下,一些公司已经完全步入DevOps模式,有的则出现瀑布、敏捷或DevOps并存,且后者是居多的。所以如何在多种研发模式下进行有效的研发安全建设,成为一个必须解决的难题。经过近十年的实践,终于在探索解法上有一点点收获与经验,于是有了“深耕研发安全”这一系列文章。
本文是第二篇,主要介绍从纯安全的视角出发,紧密围绕漏洞及治理,结合对成本的考虑,去定位研发过程中的漏洞生产源,从而找出最佳的研发安全工作切入点。
01 漏洞通常是企业入口
——————————
下面最左边那张图,是近十年提交到CNVD的漏洞趋势统计,平均每年有1.7w个漏洞被发现并提交。然而这只不过是冰山一角,国内外还有很多类似的平台在收集漏洞,全世界也还有很多漏洞并未被提交到这些平台。所以说,每年发现的漏洞数是非常大的。
其次,在国家级或者各行业的实战攻防演习中,攻击队通常会用互联网业务系统漏洞进行打点,从而突破边界进入内网发起攻击。这些web漏洞、软件供应链漏洞都属于软件安全质量范畴,足以见得漏洞对于企业安全来说是多么重要。
第三是国家对于漏洞的重视程度也在逐渐提高和明确。随着对网络安全的重视,各行业对漏洞都有一些明确的要求,比如上面右图这种漏洞管理的规范,甚至还专门建设漏洞管理平台来收集。
综上三方面想说明:软件的漏洞,特别值得我们去关注和花心思治理。
02 什么称之为安全漏洞
——————————
前面一直在提漏洞,那什么是漏洞?见过很多漏洞定义和分类方法,此处想从研发过程来看,包括软件和协议方面的,几乎可以被全部囊括在内。
换而言之,这些漏洞都可以在研发过程中被发现,然后有机会得到治理。
03 怎么切入做研发安全
——————————
在软件质量领域,有一个先驱者叫琼斯,在他的报告中提出以下三张图及对应着三个观点。从安全角度来看,依旧是适用的:
85%的缺陷都是在开发人员编码时引入;
目前大多数缺陷都是在测试阶段被发现;
缺陷的修复工作越往后成本就会越大。
(图片创意来自互联网)
于是得出一个结论:要切入开发流程,尽早地去做研发安全。然而现在又有人提出一个无处不移的概念,其实这也是相对的,在每个阶段开展安全活动都比较重要。
04 研发过程漏洞生产源
——————————
上面提到,在编码阶段引入了85%的漏洞,那剩余的15%在哪儿?如果对漏洞按照开发阶段进行分类,不难发现还有两个主要来源:
第一个是还没开始写代码,即在设计阶段做技术架构选型与设计时,不遵守安全设计原则或未充分考虑安全性,就可能引入漏洞。如:
使用存在已知漏洞、潜在后门的开源软件/组件:Java程序中使用旧版本的fastjson、使用被投毒的xz操作系统opensuse等;
软件内部设计存在安全缺陷:应用层服务间相互调用,缺少网关统一管控、无认证机制等。
第二就是写完代码并提交,此时还是可能引入漏洞。在部署和发布阶段,PAAS层软件未做安全性配置,就可能带来安全隐患。如非必要使用root权限启动服务、不设置账密、使用默认账密等。
所以说,从安全的角度来看研发,至少要关注架构、编码和配置三方面的问题。
长按识别二维码,和我交流
More...
-- 深耕研发安全 --
-- SDL 100问 --
-- 软件供应链对抗探索 --
--------- 实战演习 ---------
--------- 安全运营 ---------
--------- 软件安全 ---------
--------- 企业安全 ---------
基于堡垒机的自动化功能实践1****
--------- 渗透测试 ---------
--------- 安全开发 ---------
--------- 个人体验 ---------