從我最開始學(xué)習(xí)安全接觸的就是 web 安全相關(guān)，當(dāng)時(shí)的自己完全不明白學(xué)習(xí)的意義是什么，只知道學(xué)習(xí)了 web 安全可以去網(wǎng)絡(luò)上尋找存在漏洞的應(yīng)用，拿到 webshell、然后提升權(quán)限到系統(tǒng)最高權(quán)限，這一個(gè)流程下來基本就達(dá)到了頂峰，在突破的時(shí)候是最有成就感的，我相信有非常多的同行是在這樣的情況下入行的。web 安全就是應(yīng)用安全中的一部分。

說到應(yīng)用，什么是應(yīng)用?百度百科上說的一句 適應(yīng)需要，以供使用 ，在現(xiàn)在的互聯(lián)網(wǎng)時(shí)代，所有的軟件都可以叫應(yīng)用，他們的產(chǎn)生是為了滿足我們的日常需求，方便我們的衣食住行，多年前是 PC 互聯(lián)網(wǎng)的時(shí)代，近幾年進(jìn)入了移動(dòng)互聯(lián)網(wǎng)時(shí)代，未來會(huì)是物聯(lián)網(wǎng)時(shí)代、人工智能的時(shí)代 等等，隨著科技的進(jìn)步，安全的需求也在不斷發(fā)生著變化，近幾年做滲透的朋友越來越感覺到難做，web 的安全漏洞越來越少，這可以說是時(shí)代的進(jìn)步、安全意識(shí)的提升、代碼安全性增加、應(yīng)用主戰(zhàn)場(chǎng)的變化 等等一系列因素的結(jié)果，這對(duì)于安全行業(yè)來說是好事，整體安全性在不斷提升，側(cè)面說明我們安全從業(yè)人員的價(jià)值體現(xiàn)。

對(duì)于應(yīng)用產(chǎn)生的整個(gè)生命周期來講，考慮安全越早越好，早期的應(yīng)用主要是為了實(shí)現(xiàn)功能、快速上線，互聯(lián)網(wǎng)行業(yè)迭代更新非?？欤瑫r(shí)間就是競(jìng)爭(zhēng)力，只有在業(yè)務(wù)因?yàn)榘踩珕栴}而出現(xiàn)重大損失的時(shí)候才專門去招人或者購(gòu)買安全服務(wù)進(jìn)行及時(shí)止損，在上線之前沒有考慮安全，帶洞上線，從而導(dǎo)致大量的用戶隱私泄漏，最終的受害者還是使用應(yīng)用的用戶，經(jīng)過多年安全人員的努力，企業(yè)對(duì)于安全也慢慢重視起來，那么如何做好應(yīng)用安全呢?

SDLC 大家都聽過，翻譯過來就是軟件開發(fā)生命周期，是為了規(guī)范開發(fā)的流程、提升開發(fā)效率、增強(qiáng)代碼質(zhì)量，做到閉環(huán)，SDLC 包含五個(gè)階段：需求分析、設(shè)計(jì)、編碼、測(cè)試、發(fā)布，如圖：

但這里并沒有把安全考慮進(jìn)去，我們是否可以將安全貫穿到整個(gè)軟件開發(fā)的生命周期呢?如何做?請(qǐng)看下圖：

1. 在需求階段做風(fēng)險(xiǎn)評(píng)估，提前將風(fēng)險(xiǎn)識(shí)別出來，作為安全的需求提交給研發(fā)，不只是功能上的，還包括一些架構(gòu)不合理的地方，這對(duì)安全人員對(duì)能力要求是非常高的;
2. 在設(shè)計(jì)階段做威脅建模、安全參與進(jìn)行設(shè)計(jì) review，指出設(shè)計(jì)存在的安全威脅，共同完成安全的設(shè)計(jì)方案;
3. 在開發(fā)階段，要進(jìn)行代碼 review，提前做代碼審計(jì)通過人工或者自動(dòng)化的方式，這里對(duì)安全專業(yè)人才的需求也很高;
4. 在測(cè)試階段進(jìn)行安全評(píng)估，也就是安全測(cè)試或者滲透測(cè)試，通過黑盒的方式找出安全 bug，在上線之前解決掉，可以用功能測(cè)試的小伙伴進(jìn)行合作或者其他的方式;
5. 在發(fā)布階段要對(duì)主機(jī)進(jìn)行安全檢查，升級(jí)最新補(bǔ)丁、關(guān)閉無用端口等，將攻擊面降到最低;
6. 上線之后，通過開始 SRC 平臺(tái)接收來自白帽子的漏洞提交，補(bǔ)充安全測(cè)試不足，做到閉環(huán);

經(jīng)過上面的一系列操作之后，可以將大部分的安全問題扼殺在上線之前，從而大大降低應(yīng)用的安全風(fēng)險(xiǎn)，但是完全這么做是需要大量的人力和時(shí)間的，對(duì)于大部分企業(yè)來說是不可能完全做到的，因?yàn)榭赡芤驗(yàn)榱鞒痰膹?fù)雜度或者人員的能力問題，造成項(xiàng)目的延期、錯(cuò)事商機(jī)，具體做不做以及怎么做，需要上層領(lǐng)導(dǎo)的支持，不同公司的情況不同，需要制定的流程也不一樣，落地情況也不同。

理想的情況下是完全按照上面的流程做每一個(gè)項(xiàng)目，這是多少安全負(fù)責(zé)人的理想，可是往往投入產(chǎn)出比不那么好看，得不到領(lǐng)導(dǎo)的支持，參與流程的同事也很抵觸這么做，畢竟增加工作量多事，不是所有人都愿意做的，所以作為安全人員并不能強(qiáng)迫大家都按照你的要求來做，就需要平衡我們與開發(fā)人員之間的關(guān)系，在不增加別人工作量的同時(shí)，提升軟件安全性，在規(guī)范流程的同時(shí)，提升自動(dòng)化能力，將研發(fā)當(dāng)作我們的用戶，我們是為業(yè)務(wù)服務(wù)的，而不是監(jiān)管機(jī)構(gòu)。

今天就聊到這里吧，想要落地這個(gè)并沒有那么容易，也不是每一家公司都能做到，在自身人力不足的情況下還是不要做這個(gè)，做好滲透測(cè)試，在惡意攻擊之前發(fā)現(xiàn)安全問題，推動(dòng)開發(fā)盡快修復(fù)安全問題，如果業(yè)務(wù)系統(tǒng)比較多，自身無法覆蓋全面的滲透測(cè)試，可以開設(shè) SRC 集白帽子之力來幫助企業(yè)發(fā)現(xiàn)安全問題，然后自研掃描器，將歷史安全問題集成到掃描器中，保證歷史安全問題不再出現(xiàn)，我們的價(jià)值也就能夠很好的體現(xiàn)了，安全無止境，共勉!