日本无码免费高清在线|成人日本在线观看高清|A级片免费视频操逼欧美|全裸美女搞黄色大片网站|免费成人a片视频|久久无码福利成人激情久久|国产视频一二国产在线v|av女主播在线观看|五月激情影音先锋|亚洲一区天堂av

  • 手機(jī)站
  • 小程序

    汽車測試網(wǎng)

  • 公眾號

    • 汽車測試網(wǎng)

    • 在線課堂

    • 電車測試

談?wù)勂囓浖邪l(fā)安全體系

2021-11-17 08:38:10·  來源:汽車信息安全  作者:yelin-青驥  
 
青驥信息安全原創(chuàng)技術(shù)專題信息安全作為產(chǎn)品價(jià)值的一部分,重要性在金融行業(yè)及頭部互聯(lián)網(wǎng)廠商得到更多的重視,但隨著軟件定義汽車?yán)顺钡呐d起,車企也在如何提高應(yīng)
青驥信息安全原創(chuàng)技術(shù)專題
信息安全作為產(chǎn)品價(jià)值的一部分,重要性在金融行業(yè)及頭部互聯(lián)網(wǎng)廠商得到更多的重視,但隨著軟件定義汽車?yán)顺钡呐d起,車企也在如何提高應(yīng)用軟件安全的道路上不斷跟進(jìn)。

為什么要在軟件研發(fā)中加入安全?身處不同位置的人可能有不同的想法,在這里分享一個(gè)華為內(nèi)部信的觀點(diǎn):“今天,我們又處在一個(gè)新的起點(diǎn),全面云化、智能化、軟件定義一切等發(fā)展趨勢,對ICT基礎(chǔ)設(shè)施產(chǎn)品的可信提出了前所未有的要求??尚艑⒊蔀榭蛻粼纲I、敢買和政府接受、信任華為的基本條件”,全文可查看《全面提升軟件工程能力與實(shí)踐,打造可信的高質(zhì)量產(chǎn)品》。業(yè)務(wù)優(yōu)先還是安全并重,在國內(nèi)當(dāng)前市場形勢下大部分都會選擇業(yè)務(wù)營收優(yōu)先,但當(dāng)業(yè)務(wù)不能保持正向營收趨勢的時(shí)候安全還會跟進(jìn)么?為業(yè)務(wù)保駕護(hù)航是安全推動(dòng)中常用的一個(gè)口號,但潛意識里業(yè)務(wù)和安全還是割裂的。安全的價(jià)值如何衡量和呈現(xiàn)?是作為業(yè)務(wù)正常的一部分還是業(yè)務(wù)增收的附加保險(xiǎn),關(guān)于這個(gè)問題的認(rèn)識和回答可能會很大影響到企業(yè)在進(jìn)行安全建設(shè)決策的出發(fā)點(diǎn)。

應(yīng)用軟件安全研發(fā)的方法論目前主流分為起源于微軟的SDL路線和起源于Gartner的DevSecOps理念。2020年參與了國內(nèi)某傳統(tǒng)車企的軟件安全研發(fā)建設(shè),從建設(shè)過程中的經(jīng)歷來看國內(nèi)大部分的傳統(tǒng)車企可能仍然要先走SDL路線,原因如下:

一、軟件開發(fā)資產(chǎn)較分散,沒有形成標(biāo)準(zhǔn)化管理,部分軟件項(xiàng)目依賴第三參與;
二、沒有成熟的軟件研發(fā)流水線平臺支撐,CI/CD無法形成自動(dòng)化;
三、安全部門側(cè)重IT安全保障,對研發(fā)安全及安全研發(fā)工作的人力、能力、工具支撐有限。

1. 項(xiàng)目資產(chǎn)管控
實(shí)現(xiàn)對軟件研發(fā)資產(chǎn)的管控的建設(shè)軟件安全研發(fā)過程中繞不開的一環(huán),在建設(shè)這一環(huán)中存量軟件項(xiàng)目的梳理登記與新增項(xiàng)目的登記在建設(shè)的初期可以通過人工的方式進(jìn)行訪談溝通,理清需要登記的項(xiàng)目信息,對項(xiàng)目資產(chǎn)類型進(jìn)行分類定級,優(yōu)先保障高等級的項(xiàng)目安全。通過人工訪談過程中的信息梳理建立線上模板進(jìn)行統(tǒng)計(jì),實(shí)現(xiàn)初步的工具化、規(guī)?;芾怼?/span>
再進(jìn)一步的工作將更深入的挖掘企業(yè)軟件開發(fā)的業(yè)務(wù)架構(gòu)信息,如編程語言類型、業(yè)務(wù)形態(tài)、研發(fā)流程、迭代頻率、常見漏洞類型等。



Source:理想汽車車聯(lián)網(wǎng)安全挑戰(zhàn)與思考
2. 研發(fā)平臺標(biāo)準(zhǔn)化
資產(chǎn)管控的完成將支撐企業(yè)內(nèi)部建立標(biāo)準(zhǔn)化的研發(fā)平臺,實(shí)現(xiàn)更進(jìn)一步的數(shù)據(jù)閉環(huán)。標(biāo)準(zhǔn)化的研發(fā)平臺一方面可以將軟件開發(fā)生命周期的大部分活動(dòng)進(jìn)行內(nèi)部統(tǒng)一,另一方面在構(gòu)建工具鏈的支撐上也更為容易。前者將促進(jìn)軟件研發(fā)向DevOps轉(zhuǎn)型,促進(jìn)軟件開發(fā)人員(Dev)和IT運(yùn)維技術(shù)人員(Ops)的溝通合作,通過自動(dòng)化“軟件交付”和“架構(gòu)變更”的流程使得構(gòu)建、測試、軟件發(fā)布能夠更加地快捷、頻繁和可靠。后者對改善安全工具分散使用、降低供應(yīng)鏈攻擊風(fēng)險(xiǎn)和開源代碼使用風(fēng)險(xiǎn)有明細(xì)的效果。
3. SDL→DevSecOps
DevSecOps相較于SDL更加側(cè)重對平臺化、自動(dòng)化的推崇,在建設(shè)初期的階段,人工推動(dòng)安全介入研發(fā)操作落地更容易解決0→1的問題,但隨著支撐項(xiàng)目規(guī)模的擴(kuò)大和安全效果要求的提高,平臺化和自動(dòng)化建設(shè)在解決1→100的問題上能更加節(jié)約人力投入以及更明顯的效率提升。0→1階段可以主要關(guān)注通過文檔性(如安全編碼規(guī)范、安全審批郵件)的宣導(dǎo)和約束將開源或商業(yè)安全工具在具體項(xiàng)目中用起來,在1→100階段則需要更多關(guān)注平臺工具鏈建設(shè)以及工具檢出的漏洞數(shù)據(jù)、研發(fā)平臺反饋的修復(fù)數(shù)據(jù)等數(shù)據(jù)構(gòu)建安全數(shù)據(jù)的閉環(huán)和呈現(xiàn),自動(dòng)化和工具化獲得的數(shù)據(jù)可以讓安全工作有更好的向上匯報(bào)成果以及更明確的安全建設(shè)方向依據(jù)。


Source:滴滴SDL體系建設(shè)
這里給出一個(gè)對比SDL與DevSecOps主要活動(dòng)流程的示意圖,從圖中對比可以看到,SDL與DevSecOps的主要安全活動(dòng)重合度比較高,SDL在整體安全流程建設(shè)方面投入更多,DevSecOps則側(cè)重工具鏈落,以工具能力、平臺能力、自動(dòng)化能力平衡業(yè)務(wù)研發(fā)活動(dòng)與安全活動(dòng)的時(shí)間人力成本投入。兩者并不沖突,都是安全治理的方法,推薦根據(jù)企業(yè)安全建設(shè)現(xiàn)狀選擇合適的安全方法論和開展安全活動(dòng)。


Source:默安-不同企業(yè),SDL差異幾何
這里給出一些在具體落地中安全活動(dòng)及相關(guān)工具選擇參考:
計(jì)劃&需求&設(shè)計(jì)階段:
安全知識庫搭建:OWASP、NIST、CAPEC
安全威脅庫:威脅建模(微軟-ThreatModelingTool、ThreatDragon、ThreatModeler)
安全編碼規(guī)范
安全需求庫:法律法規(guī)、行業(yè)監(jiān)管、公司內(nèi)部要求、業(yè)界安全實(shí)踐、OWASP ASVS checklist
供應(yīng)商評估
創(chuàng)建&驗(yàn)證&實(shí)施階段:
IAST交互式源碼安全掃描:JavaFindSecurityBugs
SAST源碼靜態(tài)安全掃描:Sonarqube
DAST動(dòng)態(tài)黑盒安全掃描:WebZAP、APPSCan、AWVS、Mantra
SCA開源組件安全掃描:DependencyCheck、BlackDuck
容器安全掃描:Clair、NessusForDocker
主機(jī)安全掃描&基線配置安全掃描:TenableNessus
MAST移動(dòng)客戶端安全測試:MOBSF
RASP運(yùn)行時(shí)應(yīng)用自保護(hù):OpenRASP
漏洞跟蹤管理:DefectDojo
應(yīng)用資產(chǎn)風(fēng)險(xiǎn)感知&漏洞聚合平臺:Kibana、ThreadFix
發(fā)布&配置階段:
安全風(fēng)險(xiǎn)評估記錄:Jira、Confluence
制品庫管理:Jfog、Nexus
漏洞跟蹤修復(fù):Jira
資產(chǎn)管理平臺:定制開發(fā)

4.結(jié)語
研發(fā)安全體系是一個(gè)長期的建設(shè)工程,整體的保障是保障業(yè)務(wù)的安全下限,提高業(yè)務(wù)安全上限可觸達(dá)的能力。在階段規(guī)劃上,一方面是根據(jù)當(dāng)前已收集到的企業(yè)安全風(fēng)險(xiǎn)情況,著力解決當(dāng)前救火的緊急事件,關(guān)注重點(diǎn)業(yè)務(wù)的安全基礎(chǔ)保障,另一方面需要抓大放小,把有限的人力和精力放到主要的安全活動(dòng)建設(shè)中,如代碼安全掃描的建設(shè),可以大幅降低問題代碼被帶到線上去的幾率,周期性的安全演習(xí)、滲透測試可以在內(nèi)部有效的發(fā)現(xiàn)安全風(fēng)險(xiǎn)問題。
安全“左移”已逐步進(jìn)入到安全“無處不在”的階段。提高安全參與意識實(shí)現(xiàn)人人共建安全的企業(yè)內(nèi)部文化正當(dāng)時(shí)。
分享到:
 
反對 0 舉報(bào) 0 收藏 0 評論 0
滬ICP備11026917號-25