30、应用安全：反馈收集与安全评分卡的运用

应用安全：反馈收集与安全评分卡的运用

在应用安全领域，要确保应用程序的安全性，不仅需要关注定量指标，还需重视定性指标。通过有效的反馈收集和运用安全评分卡，能够提升应用安全项目的成效，下面将详细介绍相关内容。

1. 反馈收集的重要性与方法

在应用安全项目中，反馈是衡量项目成效的关键。它能帮助我们了解开发团队在应用安全方面的体验，以及项目是否满足组织的需求。以下是反馈收集的重要性及具体方法。

1.1 反馈的重要性

反馈能为应用安全团队提供关于项目运行情况的背景信息，更重要的是，能让团队了解开发团队获取应用安全相关信息的难易程度。应用安全团队可以通过询问一些基本问题来收集反馈，例如：
- 修复软件漏洞所收到的指导是否清晰？
- 扫描工具的结果是否易于获取？
- 代码是否针对安全漏洞进行了充分测试？
- 是否理解应用程序的业务风险级别？

这些问题能让团队了解应用安全项目的实施效果，以及开发团队在安全方面的需求。

1.2 反馈收集方法

反馈收集主要有两种方法，分别是通过对话和调查来获取。

1.2.1 通过对话收集反馈
与工程组织中的同行和合作伙伴进行对话是一种简单直接的反馈收集方式。可以询问他们最大的安全担忧、团队的表现以及与团队成员的互动模式等问题。例如，询问工程团队是否知道如何与应用安全团队合作，以及是否了解票务系统的使用方法。

然而，这种方法存在一定的局限性。它的扩展性不佳，因为收集信息的速度取决于对话的频率。而且，将这些信息在团队中进行操作化也比较困难。例如，若团队成员对票务系统缺乏了解，可能需要进行传统的宣传推广。

1.2.2 通过调查收集反馈
通过调查或在线服务收集反馈是一种更具扩展性的方法。它能在短时间内从大量受访者那里获取信息，尤其适用于流程或交互点发生变化时，需要尽早获取反馈的情况。

调查收集反馈有两种主要方式：
- 电子邮件或电子通信 ：通过创建一系列问题并发送给特定的人员列表来收集反馈。这种方法适用于小范围的特定主题反馈收集，例如对安全架构会议的反馈。
- 在线调查平台 ：对于更复杂的问题和更广泛的受众，可以使用像 SurveyMonkey 这样的在线调查平台。它能帮助团队构建复杂的调查，并将其发送给数十、数百甚至数千人。例如，Superior Products 的应用安全团队通过在线调查平台向数百名开发人员发送了关于漏洞管理流程熟悉程度的调查，问题包括：
- 对应用程序中发现的漏洞严重程度的熟悉程度如何？
- 对 OWASP Top 10 的熟悉程度如何？
- 是否理解所开发应用程序的威胁和风险？
- 是否有修复应用程序中发现的漏洞所需的材料和培训？
- 对修复应用程序中发现的漏洞的信心如何？

通过这些问题的答案，应用安全团队能够了解开发人员的信心水平和处理漏洞的能力。

无论采用哪种反馈收集方法，组织都需要将收集到的信息融入到流程中，以便采取相应的行动。例如，如果调查结果显示工程组织大多数人缺乏解决漏洞所需的信息，应用安全团队可能需要通过大规模的沟通活动来传播这些信息。

2. 安全评分卡的概念与实施

安全评分卡，也称为安全营养标签，虽然不是一个新概念，但在应用安全领域的实际应用还处于发展阶段。它可以帮助组织提高对应用程序安全态势的认识，以下是安全评分卡的相关内容。

2.1 安全评分卡的概念

安全评分卡主要关注应用程序本身的战术方面，与组织的整体愿景有所不同。例如，应用程序支持的传输层安全（TLS）版本、加密强度等都会影响其安全评分。较低的 TLS 版本或使用弱加密会降低应用程序的整体评分。

2.2 安全评分卡的实施步骤

实施安全评分卡需要经过以下步骤：

2.2.1 准备评分卡
第一步是确定要测量的内容，并将其与应用程序的评分联系起来。数据收集应自动化且可重复，尽量减少手动步骤。例如，收集应用程序的 TLS 版本可以通过扫描工具或在线工具（如 SSL Labs）来完成，但使用在线工具时需要注意知识产权保护问题，最好使用组织内部有更严格控制的工具。

创建评分卡的指标应与组织的业务风险和重要需求相匹配。如果组织没有面向客户的公开应用程序或处理敏感信息的应用程序，TLS 版本和安全性可能不是首要关注的问题。此外，如果组织认为代码质量与生产环境中发布的漏洞有直接关系，那么应将代码质量指标纳入评分卡。

以 Superior Products 为例，该组织以 Stuff - For - You 应用程序为起点实施安全评分卡。由于该应用是电子商务平台，需要关注以下几个方面：
- 与个人身份信息（PII）和财务信息相关的数据安全。
- 与客户浏览和购买历史相关的数据隐私。
- 应用程序的信心和声誉。
- 商店和市场中销售商品的完整性。

基于这些关注点，评分卡应至少关注数据保护，如使用强加密算法进行静态和传输数据加密，以及使用哈希技术确保数据库中数据的完整性。影响数据传输或静态存储的漏洞应给予更高的权重。此外，由于组织关注网站的声誉，任何影响应用程序可用性的漏洞或设计决策也应纳入评分卡。

Superior Products 制定的安全评分卡标准、数据来源和更新频率如下表所示：
| 标准 | 数据来源 | 频率 |
| — | — | — |
| 支持的 TLS 版本 | 网络团队的网络级扫描 | 每日 |
| 支持的 TLS 密码套件 | 网络团队的网络级扫描 | 每日 |
| 关键数据库的校验和 | 数据库团队 | 按需 |
| 关系数据库中的数据是否使用 Superior Products 的加密标准进行加密 | 数据库团队 | 按需 |
| 包含敏感信息的 NoSQL（非结构化数据）是否在静态时加密 | 站点可靠性工程（SRE） | 按需 |
| OWASP Top 10—A02 加密失败 | 扫描或手动审查中识别的漏洞，并记录在缺陷跟踪工具中 | 按需 |
| OWASP Top 10—A03 注入 | 扫描或手动审查中识别的漏洞，并记录在缺陷跟踪工具中 | 按需 |
| 可用性和 DDoS 相关漏洞 | 扫描或手动审查中识别的漏洞，并记录在缺陷跟踪工具中 | 按需 |

2.2.2 为评分卡的标准加权
为了定义应用程序的安全评分，需要对每个应用程序对组织的重要性进行分类。组织可以根据应用程序的重要性将其分为以下几类：
| 重要性 | 应用程序重要性描述 |
| — | — |
| 关键 | 对组织的运营至关重要，需要最高级别的正常运行时间。如果应用程序不可用或数据被泄露，将导致重大财务损失或严重损害。例如，用于给患者给药的临床应用程序。 |
| 重要 | 期望具有正常运行时间，应用程序维护的数据如果暴露或不可用，将对组织造成严重影响。例如，企业内提供供应链管理服务的应用程序。 |
| 支持 | 在组织中广泛使用，为组织的运营提供某种服务。停机和数据泄露对组织的影响较小。例如，提供客户支持功能的应用程序。 |
| 内部 | 仅在组织内部使用，用于协助组织的内部运营，如客户关系管理工具。虽然看起来重要，但通常有替代方法，其正常运行时间和数据对组织的风险较小。 |

通过对应用程序的重要性进行分类，可以为评分卡的标准赋予相应的权重，从而更准确地评估应用程序的安全状况。

综上所述，通过有效的反馈收集和合理运用安全评分卡，组织能够更好地了解应用程序的安全状况，及时发现问题并采取相应的措施，从而提高应用程序的安全性，保护组织的利益。

3. 反馈收集与安全评分卡的协同作用

反馈收集和安全评分卡并非孤立的工具，它们在应用安全管理中相互补充、协同作用，共同提升应用程序的安全性。

3.1 反馈为安全评分卡提供优化方向

通过反馈收集，我们可以了解到开发团队在应用安全方面的实际体验和遇到的问题。这些信息能够为安全评分卡的指标和权重调整提供依据。例如，如果反馈显示开发团队对某些安全漏洞的修复指导不清晰，那么在安全评分卡中可以增加对修复指导清晰性的评估指标，或者提高相关指标的权重。

以下是反馈影响安全评分卡优化的流程：

graph LR
    A[收集反馈] --> B[分析反馈内容]
    B --> C{是否影响评分卡指标?}
    C -- 是 --> D[调整评分卡指标或权重]
    C -- 否 --> E[维持评分卡现状]
    D --> F[更新安全评分卡]
    E --> F
    F --> G[应用新的评分卡进行评估]

3.2 安全评分卡为反馈收集提供量化依据

安全评分卡为应用程序的安全状况提供了量化的评估结果。这些结果可以作为反馈收集的重要参考，帮助我们更有针对性地询问问题和分析反馈。例如，当安全评分卡显示某个应用程序的加密强度得分较低时，在反馈收集中可以重点询问开发团队在加密方面遇到的困难和需求。

以下是安全评分卡与反馈收集结合的操作步骤：
1. 定期生成应用程序的安全评分卡。
2. 分析评分卡结果，确定需要重点关注的安全领域。
3. 根据重点关注领域设计反馈收集问题。
4. 向开发团队和相关人员收集反馈。
5. 结合评分卡结果和反馈内容，制定改进措施。

4. 实际案例分析

为了更好地理解反馈收集和安全评分卡在应用安全管理中的应用，下面以 Superior Products 为例进行详细分析。

4.1 反馈收集案例

Superior Products 的应用安全团队通过调查收集了开发人员对漏洞管理流程的反馈。调查结果显示，大部分开发人员对 OWASP Top 10 的熟悉程度较低，并且缺乏修复漏洞所需的材料和培训。

基于这些反馈，应用安全团队采取了以下措施：
- 组织 OWASP Top 10 相关的培训课程，提高开发人员的安全意识。
- 整理并提供更多修复漏洞的参考材料，如安全编码指南、常见漏洞修复示例等。
- 优化漏洞修复指导文档，使其更加清晰易懂。

通过这些措施，开发人员对安全漏洞的处理能力得到了提升，应用程序的安全性也得到了改善。

4.2 安全评分卡案例

Superior Products 在 Stuff - For - You 应用程序上实施了安全评分卡。评分卡的指标包括 TLS 版本、数据加密、漏洞情况等。通过定期评估，发现该应用程序在 TLS 版本支持方面存在不足，得分较低。

针对这一问题，应用安全团队采取了以下措施：
- 升级应用程序的 TLS 版本，提高数据传输的安全性。
- 加强对 TLS 配置的管理和监控，确保其符合安全标准。
- 在安全评分卡中增加对 TLS 版本升级进度的跟踪指标，及时评估改进效果。

经过一段时间的努力，Stuff - For - You 应用程序的安全评分得到了显著提高，其安全性得到了有效保障。

5. 最佳实践建议

为了更有效地运用反馈收集和安全评分卡，以下是一些最佳实践建议：

5.1 反馈收集最佳实践

• 多样化收集渠道 ：结合对话、调查、在线反馈表单等多种方式，确保能够收集到不同层面和角度的反馈。
• 定期收集反馈 ：建立定期反馈收集机制，及时了解应用安全项目的运行情况和开发团队的需求变化。
• 分析反馈并及时响应 ：对收集到的反馈进行深入分析，制定相应的改进措施，并及时向反馈者反馈处理结果。

5.2 安全评分卡最佳实践

• 与业务目标对齐 ：评分卡的指标和权重应与组织的业务目标和风险偏好相匹配，确保评估结果能够反映应用程序对业务的实际影响。
• 自动化数据收集 ：尽量采用自动化工具收集评分卡所需的数据，减少手动操作，提高数据的准确性和及时性。
• 持续优化评分卡 ：根据反馈和实际应用情况，定期对评分卡的指标和权重进行调整和优化，使其更加科学合理。

通过遵循这些最佳实践，组织能够更好地利用反馈收集和安全评分卡，提升应用程序的安全性和应用安全项目的成效。

在应用安全管理中，反馈收集和安全评分卡是两个强大的工具。它们能够帮助我们了解应用程序的安全状况、发现问题并及时解决。通过合理运用这两个工具，并遵循最佳实践建议，组织可以有效提升应用程序的安全性，保护自身的利益和声誉。