SDL已死,应用安全路在何方?

最新推荐文章于 2024-04-15 22:25:43 发布
最新推荐文章于 2024-04-15 22:25:43 发布
阅读量713 收藏 2
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_47208161/article/details/106527604
版权
本文探讨了SDLC(软件安全开发生命周期)在当前网络安全环境中的局限性,指出安全不应仅由安全团队独立解决,而应融入业务团队。文章强调了安全开发生命周期的挑战,如缺乏协同性、责任归属不清以及安全文化建设不足。同时,提出了将安全能力赋予业务团队、加强自动化和赋能业务的重要性,倡导安全与开发团队之间的有效合作,以延长漏洞利用时间并提高ROI。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

应用安全仍是重点投入领域

SDLC遇到的问题

    安全并不是安全团队可以独立解决的事情

    加强设计和部署阶段的投入是大势所趋

    SDLC适合软件开发,云和devops定义了新时代

    SDLC没有实现让业务承担责任

    落地过程中缺乏协同性

    缺少拥抱和激励安全的文化。

    以大多数公司的基础安全建设来说,还不配做SDLC

真实的安全开发生命周期

    软件安全开发真正要思考的问题。

    为业务团队赋能

    自动化能力的方向

    重新审视纵深防御

    教练的角色

    让漏洞利用时间更长

ROI量化分析

本文关键字:应用安全,研发流程,团队协作,安全短板

前言

    在安全行业,SDLC(软件安全开发生命周期)已经死了,如果各位安全从业人员还在追求所谓的微软最佳实践,立足的根本理念已经落后;如果信息安全管理者还看到下属做此类SDL的规划,那就是在浪费组织宝贵的预算。由微软早期提出的SDLC已经不适应现在的网络安全生态,不要照猫画虎不成反类犬,不要神化SDL理念,要看到与时俱进的安全风险,关注真实的风险治理。定位业界最佳实践可以是安全团队的追求,但更要立足于企业在大趋势下的安全背景。业界追求技术卓越的公司已经放弃了单纯在SDLC方向的投入,只有那些低头走路的小伙子,依旧在故纸堆里寻安全。

应用安全仍是重点投入领域

    攻击者的重要漏洞利用依旧是紧盯目标在软件安全领域的薄弱点持续渗透,下面的图表数据来源于Forrester Analytics Global Business Technographics Security Survey, 2019。

    数据显示企业受到的排名第一第二的主要攻击风险点依旧是软件安全漏洞和web应用程序,软件安全仍是目前攻防对抗中资源投入的最佳切入点,后期的精彩的内网对抗往往依赖于外部首先撕开口子。相信国内大多数的企业信息安全负责人上任的第一件事就是补锅,花费大量的时间精力去聚焦目前的已知风险--不要让攻击者直接通过软件漏洞getshell。所以应用安全以及囊括的二进制,web、IOT安全领域,始终是企业安全战略人才和资源投入的重点。同时在企业内部软件库,软件包,镜像的风险随着是安全技术的推移没有得到改善。现在的软件开发行业提倡不再重新发明轮子。每年新增约55%的新项目通过开源社区在踊跃发展。

    安全人员知道这些底层的应用程序库漏洞在两年内增加了 88%(本来很安全,有了安全人员就不安全了-_-)。另有调查显示虽有81%的从业人员认为开发者应当负责开源软件的安全性,但只有 30% 的开源软件维护者认为自己具有较高的安全意识。现在的应用安全言必声称更关注软件安全早期阶段,是因为形势很严峻,78%的第三方漏洞是在间接依赖中发现的,实际修复工作做起来对于研发和安全来说都十分复杂,那么SDLC可以做到什么?或者说SDL在这期间缺失了什么?

SDLC遇到的问题

安全并不是安全团队可以独立解决的事情

    容器安全为例,容器作为新兴的技术,我们理所当然认为会包含一些实用精良的安全理念。实际上并非如此:经过研究显示,十大最流行的默认 Docker 镜像中,每一个都包含至少 30 个易受攻击的系统库,很多linux发行版和中间件都很脆弱,安全人员给的解决办法永远都是一句话:升级版本,重启。但是在深耕容器应用安全领域,可以做的事情有:

    看看哪个是SDLC完全可以胜任投入的领域?业界从业人员反复强调,嵌入到SDLC中解决去软件问题,要在生命周期中解决较早的那些漏洞,但是将现状是国内各家组织在安全性集成到开发过程中、按规划匹配安全人员配置、将业务线作为安全事务的主人翁方面不够坚决,目前在流程方面也缺少支持工具,在组织支持策略投入更做得不够充分。

加强设计和部署阶段的投入是大势所趋

    下图统计数据显示,软件静态分析在SDLC的应用中资源占比,涉及发布后的阶段的投入2020年将由40%下降到25%,投入将继续前移到更早的研发流程。

    根据笔者的观察,同上面的Forrester依据国外公司给出的统计数据比较,国内的SDL各个岗位资源投入比例是失衡的。依据公开的甲方安全部门分配的JD和人员岗位比例来看,从事安全测试,红蓝军,感知的人员,远远多于从事安全设计和开发安全的人员。

    不过值得注意的是,国内整体跟上国外的一个现象是在应急响应方面的实际投入也是整体逐步降低的,或者是处于先增后减的趋势。各家SRC的安全相关事情会变得越来越少。在企业安全建设的一定时间有个分界点:头部公司的SRC强者恒强,有钱的SRC用更多的奖励吸引核心白帽子,小公司的SRC弱者越弱,绝大部分的安全运营活动从漏洞盒子,众测外包就可以上线和覆盖。某些公司短期SRC的预算越来越多,奖金礼品越来越丰盛。但是总体看公司级别在应急响应活动中整体能收到的有价值的漏洞是收敛的,对企业安全建设有意义的漏洞越来越少(有价值的事情以后由内部蓝军承担)。那些听起来风声水起的活动大都是偏向宣传、影响力和社区运营的事情,真正的和企业核心安全能力提升的事情,读者们可以细细品,SRC是不是在发布响

最低0.47元/天 解锁文章
确保软件开发生命周期(SDLC)的安全
qzt961003的博客
06-10 2454
对于SDLC的步骤和不同的项目方法(如瀑布、精益和敏捷)来改变我们对它们的看法存在争议。但是在所有这些方法中,我们在项目开始和每个新功能的开发上基本遵循相同的5个步骤。接下来,我们将分解这些阶段,并一一探索其中具体的安全需求...
【软件安全设计】安全开发生命周期(SDL
02-23
安全应用安全设计开始,软件的安全问题很大一部分是由于不安全的设计而引入的,微软用多年的经验总结出了安全开发生命周期(SDL),并提出了攻击面最小化、STRIDE威胁建模等多种方法辅助安全人员对软件进行安全...
微软 SDL 安全研发生命周期详解
最新发布
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
04-15 3747
微软SDL(Security Development Lifecycle)是一种安全软件开发的方法论,它强调在整个产品开发过程中融入安全考虑因素。SDL 是一个动态的过程,包括多个阶段和活动,以确保产品的安全开发、测试、部署和运行。Microsoft 要求所有开发团队都必须遵守 SDL 流程和要求,从而获得更安全的软件,并降低开发成本,减少严重漏洞。当前多数大型企业都借鉴SDL构建了适应于企业内部的安全研发流程。
SDL软件安全开发生命周期
leah126的博客
02-20 1375
软件安全开发生命周期(Software Development Lifecycle, SDL)的产生背景是由于在软件开发过程中,由于开发人员的疏忽或者安全设计的不完善,很容易导致软件存在安全漏洞。这些漏洞可能会被黑客利用,从而造成严重的安全风险和经济损失。为了解决这个问题,微软公司率先在2004年推出了安全开发生命周期模型,并在其软件开发过程中广泛应用SDL模型主要是为了在软件开发的过程中,从设计、开发、测试到发布的全过程中注重安全性,减少安全漏洞的发生。
SDL-软件安全设计初探
weixin_43047908的博客
12-24 4645
目录前言SDL介绍SDL作用SDL安全活动安全设计核心原则攻击面最小化基本隐私权限最小化默认安全纵深防御威胁建模STRIDE威胁建模方法STRIDE介绍威胁建模流程数据流图识别威胁缓解措施安全验证总结 前言 SDL介绍 安全开发生命周期(SDL)即Security Development Lifecycle,是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。自2004年起,微软将SDL作为全公司的计划和强制政策,SDL的核心理念就是将安全考虑集成在软件开发的每一个阶段:需
SDL应用安全开发完整流程图】
Websec
11-15 1255
1、详见下图:
SDL web安全
09-13
搜狐SDL流程与Web应用安全运营实践强调了安全开发对于减少Web应用安全漏洞的重要性。它确保了在整个开发周期中安全性和隐私性的考量,并在各个环节中采取了相应的安全措施。通过这种实践,搜狐能够更有效地响应和...
SDL安全建设流程落地方法方案
03-05
在建设安全SDL中有非常重要的辅助意义。如解决如下问题: - 项目的哪些部分在发布前需要威胁模型? - 项目的哪些部分在发布前需要进行安全设计评析? - 项目的哪些部分(如果有)需要由不属于项目团队且双方认可的...
金融科技SDL 安全设计checklist
04-11
金融科技SDL安全开发生命周期)安全设计checklist是一份针对金融行业在软件开发生命周期中实施安全设计与编码实践的详细指导文档。这份清单强调了在金融科技应用开发中确保代码安全的各个方面,特别关注于减少和...
信息安全_移动APP安全SDL.pptx
08-14
SDL,全称为安全开发生命周期(Security Development Lifecycle),是一种系统性的安全工程方法,旨在将安全措施融入软件开发的每个阶段,从需求收集到产品废弃,确保软件在设计和开发过程中考虑到安全性。SDL的核心...
SDL入门教程中文(最好的SDL入门教程,自己手工整理)
01-07
本教程是为电脑游戏制作的发烧友准备的。因为Linux的普及以及不受$M的牵制,SDL在过去的几年中,成为了跨平台开发PC游戏的首选。即使是在Windows平台下,SDL有具有自身的优势。与MFC使用不成熟的C++外表伪封装的win32api以及一家独唱推崇的COM风格和.net相比较,SDL是更纯粹的C风格。无论你是喜欢纯C还是OOP的C++,你都可以按照你自己喜欢的方式对SDL进行再次封装,只要你自己愿意,可以让自己的程序更接近C/C++的标准风格,让代码更加优美也更加容易阅读。
SDL介绍
xy_sugar的博客
01-27 8181
当我们需要建造一座大楼的时候需要一些步骤,包括选址、设计、建造、验收、装修等等。为了规范这些活动,在建筑上有一系列的标准来帮助我们规避其中的安全风险,如选址的时候要考虑地震火灾等,建造的时候要考虑承重等等 为什么要用SDL? 1、可以减少安全问题和隐私问题的数量 2、降低残留漏洞的安全风险,SDL可以规范公司web应用的开发流程,指导和协助项目进行安全规划,通过web 应用开发过程中的,需求...
应用安全】S-SDLC安全开发生命周期
12-13 836
0x01 S-SDLC简介 OWASP Secure Software Development Lifecycle Project(S-SDLC)是OWASP组织首个由OWASP中国团队独立发布并主导的研究项目,并在全球范围内正式发布。S-SDLC被越来越多的企业所重视,纷纷开始实施。 S-SDLC是安全软件开发生命周期,是一套完整的,面向Web和APP开发厂商的安全工程方法。帮助软...
互联网企业安全高级指南3.7.2 SDL落地率低的原因
weixin_33971205的博客
05-15 222
3.7.2 SDL落地率低的原因 1. DevOps的交付模式 互联网频繁的迭代和发布,不同于传统的软件开发过程。如果一个软件要一年交付,那么在前期抽出2~4周做安全设计也可以接受,但在互联网交付节奏下,可能一周到一个月就要发布版本,你可能有足够的时间去思考安全这件事。对于SDL会拖慢整个发布节奏这个问题上,安全团队去推动也会直面公司管理层和研发线的...
SDL[项目生命安全周期解决方案]
0x00的博客
07-05 4039
项目概述 1.1 文档目的 本文档为xx安全团队针对xx项目生命周期给出的安全评估系统方案,意义在于SDL使项目在设计,代码开发,测试中与安全相关的漏洞减到最少和后续安全工作的进行。 1.2 覆盖范围 本文档内容仅覆盖项目生命周期安全控制的实现方式,不包括项目生命周期安全控制平台实现后的具体运营。 1.3 术语定义 SDL安全开发生命周期(SDL)即SecurityDevelopme...
SDL介绍----1、SDLSDL安全活动
七天
07-06 7941
SDLSDL活动
【渗透测试-web安全SDL -软件安全开发周期
harry_c的博客
01-15 1221
【渗透测试-web安全SDL -软件安全开发周期SDL基本内容块未来发展 SDL SDL即Security Development Lifecycle (SDL),是微软提出的从安全角度指导软件开发过程的管理模式。SDL不是一个空想的理论模型。它是微软为了面对现实世界中安全挑战,在实践中的一步步发展起来的模式。 SDL的核心理念就是将软件安全的考虑集成在软件开发的每一个阶段 需求分析、设计、编码...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值