搜索中心

微博：在奥运乒乓赛事讨论中拉踩引战，300 余个账号被禁言； 货拉拉司机拒绝拉尸体反被投诉：官方回应； 宫崎英高：《艾尔登法环》已是我们项目规模的极限；

预览

预览

预览

预览

44人阅读

2024-08-08

未来，软件研发一定会进入到 Agent 时代，也就是说它具备一些自主性，并且它可以轻松使用 AI 工具，理解人类的意图并完成工作，最终会形成多智能体的协同模式。

作为一位研发&运维&安全技术爱好者，长期饱受以上主机管理问题的困扰。一次酒足饭饱后，与三个程序员一拍即合，决定做一个供自己使用的主机管理小工具。几天后发布了第一版，没想到吸引了有同样困扰的几个人，三个程序员裂变成了六个程序员，于是我们正式给项目命名： 牧云（collie），希望通过本工具可以像放羊一样地管理云主机。

当前市场上已有不少安全工具，它们在应用生命周期的不同阶段发挥着不同作用，我们将讨论SAST、DAST、IAST、RASP、WAF产品。RASP是应用安全不可缺少的防护产品。青藤自主研发的RASP产品，将于4月25日正式发布！

这部分内容易与代码安全扫描工具混淆，因为有部分指标如覆盖率、检出率等是重合的，还可能出现指标的指向不明等问题。故将从不同群体视角，对主要指标进行阐述： 1、对安全人员的指标 &nbsp;1）开发语言覆盖率：SDL团队需要考虑检测能力应覆盖公司所有的开发语言，通过对工具选型、异构方案设计等方式实现； &nbsp;2）检测规则覆盖率：安全工具检测规则覆盖开发安全规范内容，或内部常见漏洞类型的情况，也是通过工具选型、SAST规则运营等方式实现； &nbsp;3）检出漏洞修复率：已知漏洞的修复率与研发安全团队紧密相关，只有风险被消除才能称之为闭环、安全工作才有价值，故研发安全团队具有监督、组织业务修复等责任，可通过内部红黑榜、专题汇报等方式推进。 &nbsp;2、对开发人员的指标 &nbsp;1）检出漏洞修复率：该指标也应该纳入开发团队，作为软件质量的一个度量因素管理。开发团队需要认为自己对编写的软件安全质量负责，即使会遇到交付压力大、习惯、技能等困难，也应在安全人员的辅助下完成漏洞修复。无论是安全或开发人员，部分指标和研发安全的目标应保持一致。只有各自承担起自己的职责，才能交付安全的软件。 更多软件安全内容，可以访问： 1、<a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485635&amp;idx=1&amp;sn=d1f3c10665061d46ee3042a932c32af5&amp;chksm=eb6c2abbdc1ba3adc13596ff1174f5431e597f851cd4560e31daa7aa256e39aecca1c0f9c2a0&amp;scene=142#wechat_redirect" target="_blank">SDL100问：我与SDL的故事</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485702&amp;idx=1&amp;sn=cdb42998335935cce5513a731f2969e6&amp;chksm=eb6c2b7edc1ba268d2847e2083231fe5f964efea2ab8c7d0ffb16d081683c79dda8529682693&amp;token=1925672008&amp;lang=zh_CN&amp;scene=142#wechat_redirect" target="_blank">SDL与DevSecOps有何异同？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485711&amp;idx=1&amp;sn=79e9ebca9eae85d4d4cb6fcf6639fcf5&amp;chksm=eb6c2b77dc1ba2616e6adf76413422781c666d6a9f2cf734fb7097b791c5ddd2762ef4673547&amp;scene=142#wechat_redirect" target="_blank">如何在不同企业实施SDL？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485724&amp;idx=1&amp;sn=1d9fedf471d58919a2b0ddf99d10c9d0&amp;chksm=eb6c2b64dc1ba2721a4cdcaee3036ed61dab0c91f97e794a6ed5a59b3be74872a233ed0eaf45&amp;scene=142#wechat_redirect" target="_blank">SAST误报太高，如何解决？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485759&amp;idx=1&amp;sn=a362896234e1d0e7403befd9c2312567&amp;chksm=eb6c2b47dc1ba2515c97c887e6b7ee6119c1d26e6ba9aad4eace374350f68c3566c1db005d03&amp;scene=142#wechat_redirect" target="_blank">SDL需要哪些人参与？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485772&amp;idx=1&amp;sn=37a833b95317746945bb08e3940d07ff&amp;chksm=eb6c2b34dc1ba22200369c45c0e871cd708c86810da3b64c09e7c8c4ca39fedc4fefa7631ad3&amp;scene=142#wechat_redirect" target="_blank">在devops中做开发安全，会遇到哪些问题？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485785&amp;idx=1&amp;sn=091cdd44050411ad490e95222221e3d8&amp;chksm=eb6c2b21dc1ba2373c3f566a9500661bec26d4b805e5614cb4f726a4876e139014cb13c65abe&amp;scene=142#wechat_redirect" target="_blank">如何实施安全需求？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485798&amp;idx=1&amp;sn=e7d01d58260deb4ea5f59f83227cf33e&amp;chksm=eb6c2b1edc1ba20816d5738533156096cb6c8872924cba3dce37003af24e8228fd87365dff35&amp;scene=142#wechat_redirect" target="_blank">安全需求，有哪些来源？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485811&amp;idx=1&amp;sn=73876a6b1c669c165657e3af62e0f10a&amp;chksm=eb6c2b0bdc1ba21dbde4074b1c8c24223eab3a7a546fd2301fbfa7a2385bb2db682eaa3555b6&amp;scene=142#wechat_redirect" target="_blank">安全需求怎么实现自动化？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485824&amp;idx=1&amp;sn=667824a4531a35cd67ce2f8d6581f81d&amp;chksm=eb6c2bf8dc1ba2eed4251327b82c27d36eac17b338bb7240fe23bdaa66daf1e7823d8a331a7a&amp;scene=142#wechat_redirect" target="_blank">实施安全需求，会遇到哪些难题？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485837&amp;idx=1&amp;sn=8b4f4c703994290e23feb0253b8da090&amp;chksm=eb6c2bf5dc1ba2e3686c75ffe5d278ce534ff037401411662dda783344579497ac2d9745466b&amp;scene=142#wechat_redirect" target="_blank">安全需求和安全设计有何异同及关联？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485850&amp;idx=1&amp;sn=21ed85d46c64552edfb2ca8da44b3c83&amp;chksm=eb6c2be2dc1ba2f4ca6a95dd3dbc7bb916e9cbaba5d3f41b5eb470f4bcc5497db568bbdbe5cc&amp;scene=142#wechat_redirect" target="_blank">设计阶段应开展哪些安全活动？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485863&amp;idx=1&amp;sn=329eba45ab509e199463e371b1e99fcf&amp;chksm=eb6c2bdfdc1ba2c97e40ee5d0b81df82469b5bf5ca1825de47dc9dc8acee2a4a7e8841fc7257&amp;scene=142#wechat_redirect" target="_blank">有哪些不错的安全设计参考资料？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485876&amp;idx=1&amp;sn=2feca1c97cf0a17188fd2c4970859caf&amp;chksm=eb6c2bccdc1ba2da049b0488bc3d7993b9c96e3f8f5d7f77c4db7b34cff257f134477697b854&amp;scene=142#wechat_redirect" target="_blank">安全设计要求怎么做才能落地？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485889&amp;idx=1&amp;sn=0c983d68ba83d646e9470f5d8669f48a&amp;chksm=eb6c2bb9dc1ba2af6cdae9da58937fa0d4b6ee43872893ad329681666b2b046fd2d6df455f0e&amp;scene=142#wechat_redirect" target="_blank">有哪些威胁建模方法论？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485902&amp;idx=1&amp;sn=ad38f91a016b55c4a2312f18524b635c&amp;chksm=eb6c2bb6dc1ba2a03c0fb89c42ff82fb6f0046b4e0ecb394e6d2e0f963aa9f9af70b4f203099&amp;scene=142#wechat_redirect" target="_blank">有哪些威胁建模工具？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485970&amp;idx=1&amp;sn=2f2ab597d88d48dd8b1af97bb5f61e53&amp;chksm=eb6c286adc1ba17cddfd1661276af76a47a0f99b66fa115f21b1f1771e1efe0546fe8b9f188d&amp;scene=142#wechat_redirect" target="_blank">如何开始或实施威胁建模？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485987&amp;idx=1&amp;sn=1f818f82c931939ef1046ef10520901c&amp;chksm=eb6c285bdc1ba14d794b8de02c7ced703fddd72e62c9833b35472f7282a5646339243fd79d7d&amp;scene=142#wechat_redirect" target="_blank">威胁建模和架构安全评审，有何异同？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486000&amp;idx=1&amp;sn=b564e99bb7903a7514c2fb59be6cd8ba&amp;chksm=eb6c2848dc1ba15ece91485d3391d2e2a3510124cece348daba4afa6f501ec9bdd0daf84a7e4&amp;scene=142#wechat_redirect" target="_blank">编码阶段，开展哪些安全活动？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486014&amp;idx=1&amp;sn=71da08d83728aaea6b0a260b47d421f2&amp;chksm=eb6c2846dc1ba150d4132a71d3aac1e084229971272635cb3e86157e005e9d782e64adde4b6c&amp;scene=142#wechat_redirect" target="_blank">如何选择静态代码扫描(SAST)工具？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486027&amp;idx=1&amp;sn=56c44d0631f44fa819ad69fbdd5b9fbe&amp;chksm=eb6c2833dc1ba125a94b17a49b3c1b26a5ac5be916d89423b236eaca4fb4f5ccf6315a21b3a3&amp;scene=142#wechat_redirect" target="_blank">如何选择开源组件安全扫描(SCA)工具？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486052&amp;idx=1&amp;sn=8a6c5238c71029fb1548830a03061bce&amp;chksm=eb6c281cdc1ba10aec66d1bbe1d04c40acf4645a5843eeb4c11dcdc271ae5a7c99b09e1a3cb5&amp;scene=142#wechat_redirect" target="_blank">SCA工具扫描出很多漏洞，如何处理？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486061&amp;idx=1&amp;sn=4fc05467c85c9103b173731c693c4a6b&amp;chksm=eb6c2815dc1ba10305d604b9eb4dd3e202e88cfc5bec9e9fef2ab05f7d780919c3db735b48cf&amp;scene=142#wechat_redirect" target="_blank">SCA工具识别出高风险协议，如何处理？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486074&amp;idx=1&amp;sn=b289bb2b7ca408b722d6c975a8d050f0&amp;chksm=eb6c2802dc1ba114c63bfc39a1758d201bea76a7d42cb3e2df3dee456ad2b235cd3c84ffd3b0&amp;scene=142#wechat_redirect" target="_blank">如何制定一份有用的开发安全规范？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486111&amp;idx=1&amp;sn=ebb527e7bdc7ba1419214c6b68aec305&amp;chksm=eb6c28e7dc1ba1f1bcad05b322330b5f1886222313b82c07d821a8fee4e2f546fb84682e7b9e&amp;scene=142#wechat_redirect" target="_blank">如何做到开发安全规范的有效实施？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486124&amp;idx=1&amp;sn=028660ffba8891aab5bacee6f7f35b8f&amp;chksm=eb6c28d4dc1ba1c2beae382cb34eb250b7909c055bb756550d4fd0de8dbbaad4f2029fc18b41&amp;scene=142#wechat_redirect" target="_blank">SDL 25/100问：应该如何选型代码安全扫描工具？</a> 2、SDL最初实践系列 <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484219&amp;idx=1&amp;sn=6ff469339838922b9010463eca27dce1&amp;chksm=eb6c2143dc1ba855a37525e4314805aededef6ff045a222b10e2111326ee88d742a4919d6a2c&amp;scene=142#wechat_redirect" target="_blank">开篇</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484307&amp;idx=1&amp;sn=3758ef809f9a456d7ed83a2954487f5b&amp;chksm=eb6c21ebdc1ba8fd8888ccf93043b0abc5107b0a96671419bbc8b3795260feded5292248338e&amp;scene=142#wechat_redirect" target="_blank">安全需求</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484328&amp;idx=1&amp;sn=bba34270246d8e01eb1f54e4a0605d00&amp;chksm=eb6c21d0dc1ba8c67dc82bba63cd9207e91c47afafc3099a478b638ffb7ea3a913b0b7be27ec&amp;scene=142#wechat_redirect" target="_blank">安全设计</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484341&amp;idx=1&amp;sn=f08a2bcbacb518e93d24d01e1386090b&amp;chksm=eb6c21cddc1ba8db160ac24824ffcdaf46e383ea3c482191961c7176239e6ccdd9833069a295&amp;scene=142#wechat_redirect" target="_blank">安全开发</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484366&amp;idx=1&amp;sn=72cc4c6bcc5dde0b234cf5a2693d3970&amp;chksm=eb6c21b6dc1ba8a0fa8640a1bc3a977cab84c4f50835b8b448ee9e3c0b1dc6d85ba256b46ce2&amp;scene=142#wechat_redirect" target="_blank">安全测试</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484379&amp;idx=1&amp;sn=dda07183bd693fe2ed53990099e79a22&amp;chksm=eb6c21a3dc1ba8b5ef572e80a8a0a9bc22447a77b2d6b88094f2b91a87e09a179a84db05da19&amp;scene=142#wechat_redirect" target="_blank">安全审核</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484395&amp;idx=1&amp;sn=06b35e000af7a55b2a9580bb192316c1&amp;chksm=eb6c2193dc1ba885630fdecfd278b6c8bf3e90027533e1c3748d90b3d5c0cbbf5d6be2d9c0fa&amp;scene=142#wechat_redirect" target="_blank">安全响应</a>

开发安全团按照实际情况制定好安全规范后，下一步就是要求开发人员参照规范编写代码。在企业研发安全的建设过程中，要想做好开发安全规范落地，至少需要完成以下三件事： 1、组织评审，然后发布：开发安全规范通常是由安全团队发起，此时出发点、编写视角很难考虑到研发，所以一定要邀请开发经理或架构师进行评审，达成一致后走发布流程在全公司发布，做到合理的有法可依； 2、培训赋能，广而告之：组织开发团队进行培训，并结合考试，可对开发人员当时的掌握情况进行评估。经过大量实践后发现，组织经常写漏洞的开发、通过安全事件推进相关开发复盘编码安全问题，更能解少编码阶段引入漏洞的问题； 3、技术闭环，靠谱之道：开发人员即使经过了培训和考试，但在实际编程过程中往往会因为习惯和技术栈问题，忽视了规范而去写漏洞。若是能将开发安全规范内容落实到SAST工具上进行检测，尤其是在开发语言比较统一的环境中，规范的落地才算得上获得保障。 更多软件安全内容，可以访问： 1、<a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485635&amp;idx=1&amp;sn=d1f3c10665061d46ee3042a932c32af5&amp;chksm=eb6c2abbdc1ba3adc13596ff1174f5431e597f851cd4560e31daa7aa256e39aecca1c0f9c2a0&amp;scene=142#wechat_redirect" target="_blank">SDL100问：我与SDL的故事</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485702&amp;idx=1&amp;sn=cdb42998335935cce5513a731f2969e6&amp;chksm=eb6c2b7edc1ba268d2847e2083231fe5f964efea2ab8c7d0ffb16d081683c79dda8529682693&amp;token=1925672008&amp;lang=zh_CN&amp;scene=142#wechat_redirect" target="_blank">SDL与DevSecOps有何异同？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485711&amp;idx=1&amp;sn=79e9ebca9eae85d4d4cb6fcf6639fcf5&amp;chksm=eb6c2b77dc1ba2616e6adf76413422781c666d6a9f2cf734fb7097b791c5ddd2762ef4673547&amp;scene=142#wechat_redirect" target="_blank">如何在不同企业实施SDL？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485724&amp;idx=1&amp;sn=1d9fedf471d58919a2b0ddf99d10c9d0&amp;chksm=eb6c2b64dc1ba2721a4cdcaee3036ed61dab0c91f97e794a6ed5a59b3be74872a233ed0eaf45&amp;scene=142#wechat_redirect" target="_blank">SAST误报太高，如何解决？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485759&amp;idx=1&amp;sn=a362896234e1d0e7403befd9c2312567&amp;chksm=eb6c2b47dc1ba2515c97c887e6b7ee6119c1d26e6ba9aad4eace374350f68c3566c1db005d03&amp;scene=142#wechat_redirect" target="_blank">SDL需要哪些人参与？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485772&amp;idx=1&amp;sn=37a833b95317746945bb08e3940d07ff&amp;chksm=eb6c2b34dc1ba22200369c45c0e871cd708c86810da3b64c09e7c8c4ca39fedc4fefa7631ad3&amp;scene=142#wechat_redirect" target="_blank">在devops中做开发安全，会遇到哪些问题？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485785&amp;idx=1&amp;sn=091cdd44050411ad490e95222221e3d8&amp;chksm=eb6c2b21dc1ba2373c3f566a9500661bec26d4b805e5614cb4f726a4876e139014cb13c65abe&amp;scene=142#wechat_redirect" target="_blank">如何实施安全需求？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485798&amp;idx=1&amp;sn=e7d01d58260deb4ea5f59f83227cf33e&amp;chksm=eb6c2b1edc1ba20816d5738533156096cb6c8872924cba3dce37003af24e8228fd87365dff35&amp;scene=142#wechat_redirect" target="_blank">安全需求，有哪些来源？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485811&amp;idx=1&amp;sn=73876a6b1c669c165657e3af62e0f10a&amp;chksm=eb6c2b0bdc1ba21dbde4074b1c8c24223eab3a7a546fd2301fbfa7a2385bb2db682eaa3555b6&amp;scene=142#wechat_redirect" target="_blank">安全需求怎么实现自动化？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485824&amp;idx=1&amp;sn=667824a4531a35cd67ce2f8d6581f81d&amp;chksm=eb6c2bf8dc1ba2eed4251327b82c27d36eac17b338bb7240fe23bdaa66daf1e7823d8a331a7a&amp;scene=142#wechat_redirect" target="_blank">实施安全需求，会遇到哪些难题？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485837&amp;idx=1&amp;sn=8b4f4c703994290e23feb0253b8da090&amp;chksm=eb6c2bf5dc1ba2e3686c75ffe5d278ce534ff037401411662dda783344579497ac2d9745466b&amp;scene=142#wechat_redirect" target="_blank">安全需求和安全设计有何异同及关联？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485850&amp;idx=1&amp;sn=21ed85d46c64552edfb2ca8da44b3c83&amp;chksm=eb6c2be2dc1ba2f4ca6a95dd3dbc7bb916e9cbaba5d3f41b5eb470f4bcc5497db568bbdbe5cc&amp;scene=142#wechat_redirect" target="_blank">设计阶段应开展哪些安全活动？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485863&amp;idx=1&amp;sn=329eba45ab509e199463e371b1e99fcf&amp;chksm=eb6c2bdfdc1ba2c97e40ee5d0b81df82469b5bf5ca1825de47dc9dc8acee2a4a7e8841fc7257&amp;scene=142#wechat_redirect" target="_blank">有哪些不错的安全设计参考资料？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485876&amp;idx=1&amp;sn=2feca1c97cf0a17188fd2c4970859caf&amp;chksm=eb6c2bccdc1ba2da049b0488bc3d7993b9c96e3f8f5d7f77c4db7b34cff257f134477697b854&amp;scene=142#wechat_redirect" target="_blank">安全设计要求怎么做才能落地？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485889&amp;idx=1&amp;sn=0c983d68ba83d646e9470f5d8669f48a&amp;chksm=eb6c2bb9dc1ba2af6cdae9da58937fa0d4b6ee43872893ad329681666b2b046fd2d6df455f0e&amp;scene=142#wechat_redirect" target="_blank">有哪些威胁建模方法论？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485902&amp;idx=1&amp;sn=ad38f91a016b55c4a2312f18524b635c&amp;chksm=eb6c2bb6dc1ba2a03c0fb89c42ff82fb6f0046b4e0ecb394e6d2e0f963aa9f9af70b4f203099&amp;scene=142#wechat_redirect" target="_blank">有哪些威胁建模工具？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485970&amp;idx=1&amp;sn=2f2ab597d88d48dd8b1af97bb5f61e53&amp;chksm=eb6c286adc1ba17cddfd1661276af76a47a0f99b66fa115f21b1f1771e1efe0546fe8b9f188d&amp;scene=142#wechat_redirect" target="_blank">如何开始或实施威胁建模？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485987&amp;idx=1&amp;sn=1f818f82c931939ef1046ef10520901c&amp;chksm=eb6c285bdc1ba14d794b8de02c7ced703fddd72e62c9833b35472f7282a5646339243fd79d7d&amp;scene=142#wechat_redirect" target="_blank">威胁建模和架构安全评审，有何异同？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486000&amp;idx=1&amp;sn=b564e99bb7903a7514c2fb59be6cd8ba&amp;chksm=eb6c2848dc1ba15ece91485d3391d2e2a3510124cece348daba4afa6f501ec9bdd0daf84a7e4&amp;scene=142#wechat_redirect" target="_blank">编码阶段，开展哪些安全活动？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486014&amp;idx=1&amp;sn=71da08d83728aaea6b0a260b47d421f2&amp;chksm=eb6c2846dc1ba150d4132a71d3aac1e084229971272635cb3e86157e005e9d782e64adde4b6c&amp;scene=142#wechat_redirect" target="_blank">如何选择静态代码扫描(SAST)工具？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486027&amp;idx=1&amp;sn=56c44d0631f44fa819ad69fbdd5b9fbe&amp;chksm=eb6c2833dc1ba125a94b17a49b3c1b26a5ac5be916d89423b236eaca4fb4f5ccf6315a21b3a3&amp;scene=142#wechat_redirect" target="_blank">如何选择开源组件安全扫描(SCA)工具？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486052&amp;idx=1&amp;sn=8a6c5238c71029fb1548830a03061bce&amp;chksm=eb6c281cdc1ba10aec66d1bbe1d04c40acf4645a5843eeb4c11dcdc271ae5a7c99b09e1a3cb5&amp;scene=142#wechat_redirect" target="_blank">SCA工具扫描出很多漏洞，如何处理？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486061&amp;idx=1&amp;sn=4fc05467c85c9103b173731c693c4a6b&amp;chksm=eb6c2815dc1ba10305d604b9eb4dd3e202e88cfc5bec9e9fef2ab05f7d780919c3db735b48cf&amp;scene=142#wechat_redirect" target="_blank">SCA工具识别出高风险协议，如何处理？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486074&amp;idx=1&amp;sn=b289bb2b7ca408b722d6c975a8d050f0&amp;chksm=eb6c2802dc1ba114c63bfc39a1758d201bea76a7d42cb3e2df3dee456ad2b235cd3c84ffd3b0&amp;scene=142#wechat_redirect" target="_blank">SDL 23/100问：如何制定一份有用的开发安全规范？</a> 2、SDL最初实践系列 <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484219&amp;idx=1&amp;sn=6ff469339838922b9010463eca27dce1&amp;chksm=eb6c2143dc1ba855a37525e4314805aededef6ff045a222b10e2111326ee88d742a4919d6a2c&amp;scene=142#wechat_redirect" target="_blank">开篇</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484307&amp;idx=1&amp;sn=3758ef809f9a456d7ed83a2954487f5b&amp;chksm=eb6c21ebdc1ba8fd8888ccf93043b0abc5107b0a96671419bbc8b3795260feded5292248338e&amp;scene=142#wechat_redirect" target="_blank">安全需求</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484328&amp;idx=1&amp;sn=bba34270246d8e01eb1f54e4a0605d00&amp;chksm=eb6c21d0dc1ba8c67dc82bba63cd9207e91c47afafc3099a478b638ffb7ea3a913b0b7be27ec&amp;scene=142#wechat_redirect" target="_blank">安全设计</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484341&amp;idx=1&amp;sn=f08a2bcbacb518e93d24d01e1386090b&amp;chksm=eb6c21cddc1ba8db160ac24824ffcdaf46e383ea3c482191961c7176239e6ccdd9833069a295&amp;scene=142#wechat_redirect" target="_blank">安全开发</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484366&amp;idx=1&amp;sn=72cc4c6bcc5dde0b234cf5a2693d3970&amp;chksm=eb6c21b6dc1ba8a0fa8640a1bc3a977cab84c4f50835b8b448ee9e3c0b1dc6d85ba256b46ce2&amp;scene=142#wechat_redirect" target="_blank">安全测试</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484379&amp;idx=1&amp;sn=dda07183bd693fe2ed53990099e79a22&amp;chksm=eb6c21a3dc1ba8b5ef572e80a8a0a9bc22447a77b2d6b88094f2b91a87e09a179a84db05da19&amp;scene=142#wechat_redirect" target="_blank">安全审核</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484395&amp;idx=1&amp;sn=06b35e000af7a55b2a9580bb192316c1&amp;chksm=eb6c2193dc1ba885630fdecfd278b6c8bf3e90027533e1c3748d90b3d5c0cbbf5d6be2d9c0fa&amp;scene=142#wechat_redirect" target="_blank">安全响应</a>

借着回答这个问题，顺道盘点了编码阶段的安全活动开展情况。首先是安全检测会给业务研发团队增加工作量，带来时间压力。反之业务团队也会对安全团队发起挑战，所以在编码阶段的安全活动设计之初，就应该考虑到： 1、推动安全开发工作融入到业务：在开发计划中，合理加入安全测试所需的时间，并将其纳入项目进度安排。从根本上杜绝给项目组带来“额外”工作的感觉，引导开发人员为自己引入的漏洞负责，这是他们需要恪守的底线。 2、代码检测自动化及提高准确率：自动化触发扫描替代手工登录工具后台创建任务进行扫描，精细化运营检测规则可以让开发人员更加相信安全团队、以及提高准确率能够提升开发人员修完漏洞的信心。 安全团队在推行安全活动时，一定是要先试点、先准备好工具并实现自动化、检测规则调整完毕再逐步推广。在整个过程中持续优化安全流程、检测工具及安全要求等，尽可能站在业务方考虑但要有安全底线，毕竟我们的目标是为业务保驾护航。 更多软件安全内容，可以访问： 1、<a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485635&amp;idx=1&amp;sn=d1f3c10665061d46ee3042a932c32af5&amp;chksm=eb6c2abbdc1ba3adc13596ff1174f5431e597f851cd4560e31daa7aa256e39aecca1c0f9c2a0&amp;scene=142#wechat_redirect" target="_blank">SDL100问：我与SDL的故事</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485702&amp;idx=1&amp;sn=cdb42998335935cce5513a731f2969e6&amp;chksm=eb6c2b7edc1ba268d2847e2083231fe5f964efea2ab8c7d0ffb16d081683c79dda8529682693&amp;token=1925672008&amp;lang=zh_CN&amp;scene=142#wechat_redirect" target="_blank">SDL与DevSecOps有何异同？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485711&amp;idx=1&amp;sn=79e9ebca9eae85d4d4cb6fcf6639fcf5&amp;chksm=eb6c2b77dc1ba2616e6adf76413422781c666d6a9f2cf734fb7097b791c5ddd2762ef4673547&amp;scene=142#wechat_redirect" target="_blank">如何在不同企业实施SDL？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485724&amp;idx=1&amp;sn=1d9fedf471d58919a2b0ddf99d10c9d0&amp;chksm=eb6c2b64dc1ba2721a4cdcaee3036ed61dab0c91f97e794a6ed5a59b3be74872a233ed0eaf45&amp;scene=142#wechat_redirect" target="_blank">SAST误报太高，如何解决？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485759&amp;idx=1&amp;sn=a362896234e1d0e7403befd9c2312567&amp;chksm=eb6c2b47dc1ba2515c97c887e6b7ee6119c1d26e6ba9aad4eace374350f68c3566c1db005d03&amp;scene=142#wechat_redirect" target="_blank">SDL需要哪些人参与？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485772&amp;idx=1&amp;sn=37a833b95317746945bb08e3940d07ff&amp;chksm=eb6c2b34dc1ba22200369c45c0e871cd708c86810da3b64c09e7c8c4ca39fedc4fefa7631ad3&amp;scene=142#wechat_redirect" target="_blank">在devops中做开发安全，会遇到哪些问题？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485785&amp;idx=1&amp;sn=091cdd44050411ad490e95222221e3d8&amp;chksm=eb6c2b21dc1ba2373c3f566a9500661bec26d4b805e5614cb4f726a4876e139014cb13c65abe&amp;scene=142#wechat_redirect" target="_blank">如何实施安全需求？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485798&amp;idx=1&amp;sn=e7d01d58260deb4ea5f59f83227cf33e&amp;chksm=eb6c2b1edc1ba20816d5738533156096cb6c8872924cba3dce37003af24e8228fd87365dff35&amp;scene=142#wechat_redirect" target="_blank">安全需求，有哪些来源？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485811&amp;idx=1&amp;sn=73876a6b1c669c165657e3af62e0f10a&amp;chksm=eb6c2b0bdc1ba21dbde4074b1c8c24223eab3a7a546fd2301fbfa7a2385bb2db682eaa3555b6&amp;scene=142#wechat_redirect" target="_blank">安全需求怎么实现自动化？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485824&amp;idx=1&amp;sn=667824a4531a35cd67ce2f8d6581f81d&amp;chksm=eb6c2bf8dc1ba2eed4251327b82c27d36eac17b338bb7240fe23bdaa66daf1e7823d8a331a7a&amp;scene=142#wechat_redirect" target="_blank">实施安全需求，会遇到哪些难题？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485837&amp;idx=1&amp;sn=8b4f4c703994290e23feb0253b8da090&amp;chksm=eb6c2bf5dc1ba2e3686c75ffe5d278ce534ff037401411662dda783344579497ac2d9745466b&amp;scene=142#wechat_redirect" target="_blank">安全需求和安全设计有何异同及关联？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485850&amp;idx=1&amp;sn=21ed85d46c64552edfb2ca8da44b3c83&amp;chksm=eb6c2be2dc1ba2f4ca6a95dd3dbc7bb916e9cbaba5d3f41b5eb470f4bcc5497db568bbdbe5cc&amp;scene=142#wechat_redirect" target="_blank">设计阶段应开展哪些安全活动？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485863&amp;idx=1&amp;sn=329eba45ab509e199463e371b1e99fcf&amp;chksm=eb6c2bdfdc1ba2c97e40ee5d0b81df82469b5bf5ca1825de47dc9dc8acee2a4a7e8841fc7257&amp;scene=142#wechat_redirect" target="_blank">有哪些不错的安全设计参考资料？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485876&amp;idx=1&amp;sn=2feca1c97cf0a17188fd2c4970859caf&amp;chksm=eb6c2bccdc1ba2da049b0488bc3d7993b9c96e3f8f5d7f77c4db7b34cff257f134477697b854&amp;scene=142#wechat_redirect" target="_blank">安全设计要求怎么做才能落地？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485889&amp;idx=1&amp;sn=0c983d68ba83d646e9470f5d8669f48a&amp;chksm=eb6c2bb9dc1ba2af6cdae9da58937fa0d4b6ee43872893ad329681666b2b046fd2d6df455f0e&amp;scene=142#wechat_redirect" target="_blank">有哪些威胁建模方法论？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485902&amp;idx=1&amp;sn=ad38f91a016b55c4a2312f18524b635c&amp;chksm=eb6c2bb6dc1ba2a03c0fb89c42ff82fb6f0046b4e0ecb394e6d2e0f963aa9f9af70b4f203099&amp;scene=142#wechat_redirect" target="_blank">有哪些威胁建模工具？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485970&amp;idx=1&amp;sn=2f2ab597d88d48dd8b1af97bb5f61e53&amp;chksm=eb6c286adc1ba17cddfd1661276af76a47a0f99b66fa115f21b1f1771e1efe0546fe8b9f188d&amp;scene=142#wechat_redirect" target="_blank">如何开始或实施威胁建模？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247485987&amp;idx=1&amp;sn=1f818f82c931939ef1046ef10520901c&amp;chksm=eb6c285bdc1ba14d794b8de02c7ced703fddd72e62c9833b35472f7282a5646339243fd79d7d&amp;scene=142#wechat_redirect" target="_blank">威胁建模和架构安全评审，有何异同？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486000&amp;idx=1&amp;sn=b564e99bb7903a7514c2fb59be6cd8ba&amp;chksm=eb6c2848dc1ba15ece91485d3391d2e2a3510124cece348daba4afa6f501ec9bdd0daf84a7e4&amp;scene=142#wechat_redirect" target="_blank">编码阶段，开展哪些安全活动？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486014&amp;idx=1&amp;sn=71da08d83728aaea6b0a260b47d421f2&amp;chksm=eb6c2846dc1ba150d4132a71d3aac1e084229971272635cb3e86157e005e9d782e64adde4b6c&amp;scene=142#wechat_redirect" target="_blank">如何选择静态代码扫描(SAST)工具？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486027&amp;idx=1&amp;sn=56c44d0631f44fa819ad69fbdd5b9fbe&amp;chksm=eb6c2833dc1ba125a94b17a49b3c1b26a5ac5be916d89423b236eaca4fb4f5ccf6315a21b3a3&amp;scene=142#wechat_redirect" target="_blank">如何选择开源组件安全扫描(SCA)工具？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486052&amp;idx=1&amp;sn=8a6c5238c71029fb1548830a03061bce&amp;chksm=eb6c281cdc1ba10aec66d1bbe1d04c40acf4645a5843eeb4c11dcdc271ae5a7c99b09e1a3cb5&amp;scene=142#wechat_redirect" target="_blank">SCA工具扫描出很多漏洞，如何处理？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486061&amp;idx=1&amp;sn=4fc05467c85c9103b173731c693c4a6b&amp;chksm=eb6c2815dc1ba10305d604b9eb4dd3e202e88cfc5bec9e9fef2ab05f7d780919c3db735b48cf&amp;scene=142#wechat_redirect" target="_blank">SCA工具识别出高风险协议，如何处理？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486074&amp;idx=1&amp;sn=b289bb2b7ca408b722d6c975a8d050f0&amp;chksm=eb6c2802dc1ba114c63bfc39a1758d201bea76a7d42cb3e2df3dee456ad2b235cd3c84ffd3b0&amp;scene=142#wechat_redirect" target="_blank">如何制定一份有用的开发安全规范？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486111&amp;idx=1&amp;sn=ebb527e7bdc7ba1419214c6b68aec305&amp;chksm=eb6c28e7dc1ba1f1bcad05b322330b5f1886222313b82c07d821a8fee4e2f546fb84682e7b9e&amp;scene=142#wechat_redirect" target="_blank">如何做到开发安全规范的有效实施？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486124&amp;idx=1&amp;sn=028660ffba8891aab5bacee6f7f35b8f&amp;chksm=eb6c28d4dc1ba1c2beae382cb34eb250b7909c055bb756550d4fd0de8dbbaad4f2029fc18b41&amp;scene=142#wechat_redirect" target="_blank">应该如何选型代码安全扫描工具？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486141&amp;idx=1&amp;sn=69623e5391b89c1fc500e163215a4b6c&amp;chksm=eb6c28c5dc1ba1d3bd26dd085dbc202cd8b1e37af6f151a610bbee454dfc3b14340b96409240&amp;scene=142#wechat_redirect" target="_blank">代码安全扫描应该设置哪些指标？</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247486154&amp;idx=1&amp;sn=c1f51a4ddec9da9dff23e4157d02764d&amp;chksm=eb6c28b2dc1ba1a49172f0330cd47feb1d81f29464fa1ef0f012eb31763e92583dbf0c08c0f0&amp;scene=142#wechat_redirect" target="_blank">SDL 27/100问：如何提升开发人员的安全意识？</a> 2、SDL最初实践系列 <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484219&amp;idx=1&amp;sn=6ff469339838922b9010463eca27dce1&amp;chksm=eb6c2143dc1ba855a37525e4314805aededef6ff045a222b10e2111326ee88d742a4919d6a2c&amp;scene=142#wechat_redirect" target="_blank">开篇</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484307&amp;idx=1&amp;sn=3758ef809f9a456d7ed83a2954487f5b&amp;chksm=eb6c21ebdc1ba8fd8888ccf93043b0abc5107b0a96671419bbc8b3795260feded5292248338e&amp;scene=142#wechat_redirect" target="_blank">安全需求</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484328&amp;idx=1&amp;sn=bba34270246d8e01eb1f54e4a0605d00&amp;chksm=eb6c21d0dc1ba8c67dc82bba63cd9207e91c47afafc3099a478b638ffb7ea3a913b0b7be27ec&amp;scene=142#wechat_redirect" target="_blank">安全设计</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484341&amp;idx=1&amp;sn=f08a2bcbacb518e93d24d01e1386090b&amp;chksm=eb6c21cddc1ba8db160ac24824ffcdaf46e383ea3c482191961c7176239e6ccdd9833069a295&amp;scene=142#wechat_redirect" target="_blank">安全开发</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484366&amp;idx=1&amp;sn=72cc4c6bcc5dde0b234cf5a2693d3970&amp;chksm=eb6c21b6dc1ba8a0fa8640a1bc3a977cab84c4f50835b8b448ee9e3c0b1dc6d85ba256b46ce2&amp;scene=142#wechat_redirect" target="_blank">安全测试</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484379&amp;idx=1&amp;sn=dda07183bd693fe2ed53990099e79a22&amp;chksm=eb6c21a3dc1ba8b5ef572e80a8a0a9bc22447a77b2d6b88094f2b91a87e09a179a84db05da19&amp;scene=142#wechat_redirect" target="_blank">安全审核</a> <a href="http://mp.weixin.qq.com/s?__biz=MzI3Njk2OTIzOQ==&amp;mid=2247484395&amp;idx=1&amp;sn=06b35e000af7a55b2a9580bb192316c1&amp;chksm=eb6c2193dc1ba885630fdecfd278b6c8bf3e90027533e1c3748d90b3d5c0cbbf5d6be2d9c0fa&amp;scene=142#wechat_redirect" target="_blank">安全响应</a>

企业开发安全落地过程中，往往面对SAST、IAST、DAST、SCA等工具优先选择落地哪个的问题，本篇文章详细对比SAST、IAST、DAST，为企业安全工具选型提供参考意见

产品

RayHunter 密码猎人

远江盛邦

66

0

密码猎人（RayHunter）是盛邦安全创新研发的一款应用级弱口令检测的新型工具。

在上一篇中，找到了研发安全的切入点，按照常规思路就应该想出对应的解决之道。本文将深入“架构-编码-配置 + 应急响应”，针对漏洞生产源，提出治理的实践方法及经验。

常用的开源免费 SAST 工具，如 SonarQube、Zap、Bandit、Brakeman、ESLint、Security Code Scan 和 Cppcheck。

预览

预览

81人阅读

2024-06-17

研发工程师 码上幸福公开课

从研发者的视角探索管理实践，注重现实案例而非抽象理论，谈笑间每一步都凝聚着对研发本质的深入思考，听众身临其境、感同身受、其乐融融。

提升研发效能不仅能加速产品上市时间，还能提高产品质量，增强客户满意度，持续提升企业竞争力。本文旨在介绍得物如何从原则、方法到成功实践，系统性提升研发效能的过程和经验。期待与行业专家深入探讨和交流，共同推动研发效能实践的新突破。

【转载】自研内存马查杀工具Memshell_Kill

预览

预览

预览

预览

55人阅读

2024-07-25

本文是”深耕研发安全”系列文章的开篇，介绍在数字化转型过程中，研发安全的工作模式与方法的迭代升级。从研发安全体系建设的角度出发，总结出难度比较大的三个典型问题。

写在前面距离公众号的第一篇文章过去了2个月了，最近一直在忙上产品3.0的事情，中间加上感染新冠，这篇文章前后

产品

慧眼安全检测平台

迪普

145

0

慧眼安全检测平台是迪普科技自主研发的基于行业化合规的主动安全管理产品。可作为行业监管部门的监督检查工具，快速摸排资产、精准定位风险隐患，及时响应通报并推动整改；可作为行业化关键信息基础设施的管理和监控平台，结合安全事件，帮助用户进行资产梳理，评估漏洞影响，快速处置，形成安全管理闭环。

青藤云安全四年来产品研发管理经验干货分享。

本文是“深耕研发安全”系列的第二篇，主要介绍从纯安全的视角出发，紧密围绕漏洞及治理，结合对成本的考虑，去定位研发过程中的漏洞生产源，从而找出最佳的研发安全工作切入点。

随着云计算和大数据发展，应用程序安全越来越受到重视。RASP 技术作为一种新型的安全防护手段，正在逐渐被业界接受并广泛应用。

产品

知道创宇日志管理综合分析系统

知道创宇

74

0

自主研发的专业信息安全审计系统，通过全面日志采集、实时关联分析、威胁事件告警及丰富多维审计，实现系统信息的统一集中存储与管理，关联与分析，使用户对信息系统整体安全状况做到全面掌控，并对系统安全事件进行及时响应。

产品

雳鉴 SCA

默安科技

113

0

雳鉴 SCA 专注解决软件安全开发流程中研发阶段以及软件供应链中的第三方组件安全问题，是默安科技基于软件安全开发生命周期管理的软件成分安全检测系统。

厂商

默安科技

166

0

默安科技凭借完整“平台+工具+服务”的SDL/DevSecOps全流程解决方案，抓源头、治漏洞、灭风险，为政企数字化业务安全赋能

产品

绿盟远程安全评估系统 RSAS

绿盟科技

88

0

绿盟远程安全评估系统是绿盟科技结合多年的漏洞挖掘和安全服务实践经验，自主研发的新一代漏洞管理产品，它高效、全方位的检测网络中的各类脆弱性风险，提供专业、有效的安全分析和修补建议，并根据安全管理流程对修补效果进行审计，最大程度减少攻击威胁，是您身边专业的“漏洞管理专家”。

产品

安天融川代码安全检测系统

安天

60

0

安天融川代码安全检测系统AntiySCS（Security Code Scan）是安天自主研发的面向软件产品全生命周期的安全开发检测系统。在应用上线前尽可能早地消灭高危漏洞、业务安全风险等在内的安全问题，从源头上避免安全事故。融川是一款全面、高效的代码安全解决产品，融合了软件组件分析（SCA）和静态应用安全测试（SAST）的先进能力。它旨在帮助企业和开发团队发现和修复代码中的安全漏洞、弱点和潜在风险，从而提升软件质量和保护业务安全。替代繁重的人工步骤，在开发阶段及时阻断不安全的组件及源码，从而防止来自软件供应链的污染传播。

产品

天镜工控系统安全检查工具箱

启明星辰

85

0

启明星辰推出的天镜工控系统安全检查工具箱，是一款便携式一体化设备，结合管理制度访谈和技术工具检测，实现工业工控系统的安全等级保护合规性风险评估。具备信息调查、合规性检查、资产安全检查、异常行为检查等多功能，技术先进，操作便捷，适用于网络安全监管单位和工控系统运营单位，提升安全自查与维护能力。

产品

绿盟网络入侵检测系统 NIDS

绿盟科技

76

0

绿盟新一代网络入侵检测系统（简称NSFOCUS NIDS）是绿盟科技根据多年攻防研究积累、以及产品研发经验，推出的网络边界安全产品

产品

巡哨

默安科技

276

0

巡哨系统从攻击者视角帮助企业发现未知资产，通过漏洞风险、高危服务、外部威胁情报等多维度监控，实现资产透明化管理和安全风险监控。

产品

UnilAM统一身份认证管理平台

联软科技

74

0

联软科技的UnilAM统一身份认证管理平台，是一套集账号、认证、权限、审计及应用管理于一体的综合解决方案。它支持自动化的账号全生命周期管理，提供企业级身份安全网关，并通过微服务架构适应多网络场景，实现数字化安全基座，构建数字身份体系，加速业务流转，提升管理能力，是企业数字化转型和信息安全建设的核心基础。

产品

敏感数据分析检测

启明星辰

65

0

启明星辰推出的移动应用敏感数据安全检测-分析系统，模拟黑客行为，深度探测移动应用中敏感数据的安全风险和漏洞。系统提供专业报告和安全修复建议，帮助企业提升业务安全体系的合规性和可靠性，保护用户隐私和资金安全。

产品

长亭代码审计服务

长亭科技

114

0

挖掘代码中的不安全因素， 解决系统安全隐患。

产品

魔方网络资产攻击面管理系统CAASM

魔方安全

75

0

系统兼具外部攻击面管理红队视角与内网资产安全管理防守视角，时刻洞察网络空间资产，基于云原生技术，将扫描能力分布扩展，探测能力全网覆盖，通过资产适配器快速对接企业IT基础设施，实现全网资产信息的汇总与提纯，打通业务属性与管理属性，实现“资产-风险-责任人”核心要素关联，构建可持续更新的资产台账，夯实安全底座。

厂商

瑞数

120

0

瑞数信息作为中国Bot自动化攻击防护领域的创新和引领者，自2012年成立以来迅速成长，覆盖上千家客户。

产品

CORAS

蜚语科技

69

0

CORAS 下一代代码安全分析平台

产品

安恒安全咨询服务

安恒信息

104

0

代码审计安全服务

产品

泰合网络行为分析系统

启明星辰

98

0

启明星辰的泰合网络行为分析系统，基于深度流分析技术，结合DPI、SNMP等技术，提供大数据架构下的流量分析。该系统能透视网络流量分布，智能化检测异常，实现安全可视化，助力精细化网络运维与管理，提升网络安全防护能力。

产品

弱口令核查

启明星辰

78

0

启明星辰的弱口令核查系统是一款专为提升企业账户口令安全性而设计的解决方案。该系统通过在线或离线方式，集中核查各类在网设备、数据库、中间件及业务系统的口令强度，确保口令符合安全标准，全面掌控网络安全状况。系统具备动态口令字典技术、无损伤破解技术，支持多种IT资产，提供多样化的报表展示，帮助用户有效整改弱口令问题，提升整体安全防护能力。

产品

云沙箱 S

微步在线

133

0

微步云沙箱S是一站式的文件威胁分析平台，集成全球主流反病毒引擎，全面检测文件威胁，针对重保安全、邮件安全、APT攻击等场景强化检测分析能力，结合微步威胁情报云，分钟级发现未知威胁。

产品

应用安全检测分析

启明星辰

71

0

启明星辰的移动应用安全检测服务，通过自动化与人工检测相结合，全面覆盖风险点，快速发现并解决APP安全问题，提升应用安全性，满足法规要求，操作简便，性价比高。

产品

奇安信天擎

奇安信

293

0

奇安信天擎是一款一体化终端安全管理系统，依托“川陀”平台，集成病毒查杀、漏洞防护、主动防御等技术，实现系统合规加固、威胁检测响应、终端数据防泄漏等功能，助力政企构建持续有效的终端安全能力。

厂商

珞安科技

50

0

北京珞安科技有限责任公司以零信任理念和体系化思想为指导，自主研发了“实战化、易部署、易维护”工控网络安全产品体系。

厂商

威努特

154

0

威努特是国内工控安全行业领军者，凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业

厂商

壹进制

50

0

一家专注于数据安全领域，主营自主研发的数据保护与业务连续性管理产品、解决方案及服务的高科技企业。

厂商

中孚信息

48

0

中孚信息成立于2002年，专业从事信息安全产品的研发、销售并提供整体解决方案。

厂商

博智安全

58

0

博智安全专注以网络靶场和工业互联网安全细分领域为核心方向。

厂商

吉大正元

60

0

吉大正元以密码技术为核心，开展信息安全软件的研发、生产和销售及服务，面向政府、军工、金融、能源、电信等重点行业和领域提供基于密码的可信身份认证等全方位解决方案。

厂商

中科网威

51

0

北京中科网威信息技术有限公司成立于1999年，前身是中科院1996年成立的网威安全工作室。

厂商

渔翁信息

59

0

渔翁信息技术股份有限公司成立于1998年，专业从事国产商用密码产品的研发、生产、销售及服务，是国内最早具有国产自主商用密码技术开发资质的民营企业之一。

厂商

慧盾安全

59

0

慧盾安全致力于数据安全整体解决方案的研发、销售和服务，主营业务为视频安全、大数据安全。

厂商

奥联

52

0

深圳奥联信息安全技术有限公司是集算法研制、产品研发、方案实现、标准制定、前瞻性技术研究为一体，具备国际领先的密码领域全面“智造”能力的综合型密码安全企业。

厂商

长扬科技

45

0

长扬科技（北京）股份有限公司是一家国资监管下、市场化运作，专注于工业互联网安全、工控网络安 全和“工业互联网+安全生产”的国家高新技术企业，国有资本占股近50%

厂商

圣博润

61

0

北京圣博润高新技术股份有限公司是一家专注于网络安全技术研究、产品研发和安全服务的高新技术企业。

厂商

数盾科技

47

0

数盾信息科技股份有限公司专注于国产密码技术研究、密码信息安全产品研发和信息安全整体解决方案服务，是首批获得国家密码管理局认定具有商用密码资质的公司。

厂商

可信华泰

50

0

北京可信华泰信息技术有限公司是中国电子信息产业集团有限公司“PKS”体系核心支撑企业之一，是可信计算龙头企业，专注于可信计算3.0技术研发和应用。

厂商

中新网安

45

0

中新网络信息安全股份有限公司成立于2002年，是一家专注于网络安全技术研究、网络安全产品软硬件研发、网络安全服务的高科技企业。

厂商

恒安嘉新

66

0

提供“云-网-边-端-用”综合解决方案的大数据智能运营运维产品，服务于产业互联网的科技工程企业，5G 时代的大数据智能运营专家

厂商

蜚语科技

121

0

蜚语科技是一家专注于提供软件供应链安全创新解决方案的网络安全企业，成立于2019年。 蜚语科技孵化自上海交通大学计算机系，创始团队由4名博士组成，拥有十数年的前沿安全研究和一线安全业务经验。 。

厂商

天行网安

62

0

拓尔思天行网安信息技术有限责任公司成立于2000年，是国内较早从事网络安全及数据交换技术研发的高新技术企业。