随着业务迭代速度加快,开发模式不断革新,在应用安全实际需求和监管合规要求等因素共同作用下,软件安全开发生命周期(SDL)的建设不再局限于大型互联网企业和金融行业,而逐渐向各行业不同类型企业扩展。
鉴于SDL建设属于大型且复杂的系统化工程,大部分企业在落地步骤、建设规划、重点内容、风险控制等方面缺乏科学的方法论和实际经验作参考,意愿强烈却无从下手,是企业SDL建设初期的共同状态。
“上医治未病”是默安科技在安全开发领域的核心理念,而望诊、闻诊、问诊和切诊是我国中医历经数千年而形成的独特诊断方法,俗称“望闻问切”四诊法。这四种思维模式,囊括了中医学理论的精髓,是中医辨证施治的重要依据。
企业SDL建设的内涵与我国中医理念有异曲同工之处。默安科技基于对SDL理念技术的深刻理解,结合在不同行业客户的实践,以及大量体系化落地实战经验,总结出一套基于企业视角和保障SDL建设落地效果的“望闻问切”经验,作为企业在建设规划过程中的一些参考。
在SDL建设规划之前,默安科技采用“望闻问切”四步为企业做出初步“诊断”。
1
“望”诊:
审视自身属性与安全开发的关系
安全开发的建设具有强烈的企业属性,不同行业、不同企业的安全开发方案在思路和路径规划上都存在细微或巨大的差异。
互联网企业
VS
传统大型国企
互联网企业视应用安全为业务安全的生命线,无论在安全团队规模、资金投入、技术水平各方面都拥有较大优势,有能力有条件以安全为中心构建自身的安全开发体系,侧重于安全工具、安全能力的建设。
而传统大型国有企业,内部管理制度和权责划分更加细化,多以监管合规视角进行安全建设,倾向于采取稳妥的安全开发落地方式。同时因安全资源和能力的限制,在落地方案中更依赖于第三方安全工具、咨询设计、安全服务等能力,逐步构建自身安全开发体系。
因此,企业在安全开发体系建设准备阶段的首要任务便是分析所在行业和企业自身在安全现状、安全驱动力、安全与业务的关系、建设目标等方面的特点属性,为后续工作提供方向指导。
2
“闻”诊:
设计方案前完成充分的内部调研
SDL的核心理念是安全左移,将安全能力左移到开发过程的每个环节。因此在设计建设方案之前,应充分调研每个阶段相关的部门权限和责任、技术现状、业务环境、衔接流程、现有安全工具、安全风险等各维度信息,以安全开发的核心理念为导向,将内部调研报告作为落地方案的制定依据。
3
“问”诊:
需满足哪些合规要求
在强调监管合规的行业,安全开发体系还必须成为安全合规的载体,为企业合规提供有力支撑。比如在需求设计阶段,依据行业监管*策,形成安全威胁知识库,建立安全合规和场景化威胁基线,指导软件设计的合规性。或者在当前比较热门的数据隐私合规方面,默安科技IAST产品基于国际和国内相关标准,已具备检测隐私数据泄露等合规问题的能力,并迅速定位存在隐私泄露风险的漏洞地址和代码位置。
4
“切”诊:
了解企业现行制度、流程、机制
安全开发的建设并不意味着推翻现行所有的开发、安全等方面的流程机制。现行制度综合了国家、行业、企业自身在安全和管理控制方面的各项要求和需求,承载了诸多的企业工作要求。企业安全开发体系的建设除了提升业务目标、安全目标、人员能力等,还应着眼于为企业内部安全制度、项目管理流程、业务与安全的协调机制等维度的优化和提升。
例如在项目管理制度中,安全开发应与现有管理平台对接,提供应用系统开发过程安全审计材料,从不同的视角丰富、支撑项目管理制度和流程。
SDL建设的“望闻问切”四诊之后,结合企业的实际情况,默安科技为企业开出量身定制的“处方”建议。一般包括以下几方面:
“处方”一
深刻理解“一把手”工程的真正含义
开发安全需要产品、研发、测试、运维、安全甚至是供应链等众多部门的工作协调与配合,因此整个体系的建设离不开企业高层在顶层设计上的有力支持,因此安全开发建设也被称为“一把手工程”。
同时,安全开发建设的主导部门更应思考如何在高层的支持下,取得各部门的信任与支持,高效有序地落地安全开发体系。安全开发的建设,本质是企业为适应业务发展、同时满足安全需求,采取的系统化的降本增效措施。主导部门应充分宣贯安全开发的收益,取得共识,降低内部阻力。
“处方”二
落地方案应遵循一些基本原则
安全开发体系的一个核心理念是为业务的发展提供安全保障,因此在方案落地过程中应尽可能避免对现有业务流程的影响,遵循一些基本原则。
例如非侵入性原则,选择对现有开发环境和工作侵入性较低的产品,降低内部技术对接和沟通成本。又如在威胁建模过程中,应遵循高效性原则,采用工具+服务的方式完成威胁建模和知识库的沉淀,后续直接复用已沉淀的场景化威胁知识库,降低成本的同时提高工作效率。
“处方”三
设置合理的目标、
可量化的考核指标
合理设定开发安全总体目标和阶段性目标,并在安全效率、安全质量提升、投入产出比方面设置量化的考核指标。一方面能够衡量建设质量,优化调整具体措施,分析并规避风险,保障体系的最终落地;另一方面也能够利用阶段性的量化成果,在漫长的建设过程中建立内部信心,为后续争取资源和支持提供参考。
“处方”四
规范的流程,
清晰的权责划分
应用系统开发安全是每个参与者的责任和义务。在不改变原有不同部门软件开发职责,最大程度适应软件开发现有流程的同时,建立各部门的安全规范化流程尤为必要。
可利用支持自定义流程、权限、角色的工具平台,在各阶段结束的节点之前设置安全质量卡点,把关安全质量的同时,也有利于明确不同部门和人员的安全权限和责任划分。
“处方”五
重视安全开发运营,
反哺体系化能力
很多企业在完成安全开发体系框架建设后,在体系的细节优化和与业务的融合方面缺乏继续打磨的意识。针对安全开发体系内工具、服务、流程等方面的持续运营,是保障整个体系发挥切实效果的基础。
例如当一个项目通过安全开发体系的层层把控,仍在上线前发现业务逻辑或安全漏洞,此时应基于风险的详细内容,反向在威胁建模、代码审计、安全组件管控等阶段筛查风险遗漏的原因,更新安全策略,将安全能力反哺到体系中。在实际安全开发过程中不断运营和反哺才能使整个体系越来越强大。
随着安全开发理念不断被市场认可,应用的场景和价值也在不断丰富和体现,更多创新技术和理念也必然会不断应用在安全开发体系中。对于企业而言,深入探索安全开发体系与企业自身属性之间的关联,借鉴业内成熟的落地建设经验,才能有效构建符合企业业务特点和安全目标的安全开发体系。