[[322612]]

一、某“爆款”視頻會議軟件的市場滑鐵盧

2020年初，一場突如其來的疫情，使得某知名視頻會議系統(tǒng)日活用戶從1000萬飆升至2億，資本市場對其一度看好?？珊镁安婚L，由于系統(tǒng)被曝出嚴(yán)重的隱私和安全問題，股價隨之受挫，商業(yè)信譽嚴(yán)重受損，還被諸多政府機構(gòu)、高科技公司禁用。

該視頻會議軟件的安全事件歸根結(jié)底是開發(fā)安全沒做到位，相信其安全團隊和開發(fā)部門肯定因此經(jīng)歷了很多個不眠之夜。

其實早在2004年，微軟就提出了SDL，強調(diào)安全要在早期開發(fā)過程介入，從根本上管控應(yīng)用安全。在2020年的RSA大會上，專注于將安全集成到DevOps流程中的DevSecOps，更是大放異彩。本文將從安全部門角度出發(fā)，針對安全開發(fā)落地過程中容易被忽略的賦能與運營問題，希望可以給大家提供一些思路。

二、安全部門的難處

安全部門處境尷尬，受制于業(yè)務(wù)上線的需求，安全往往需要為業(yè)務(wù)讓路，在實際執(zhí)行過程中處于弱勢，出問題時安全部門又需要救火和背鍋。但從上文視頻會議軟件的案例中，我們也可以看到，安全對業(yè)務(wù)的重要性。無論是對業(yè)務(wù)的貢獻，還是合規(guī)要求，甚至是更實際的——安全人員自身的績效，都應(yīng)該開展安全開發(fā)體系建設(shè)的工作。

關(guān)于安全開發(fā)體系建設(shè)的常見難點，首先我們來看兩個案例：

• 案例1：某傳統(tǒng)制造業(yè)企業(yè)，業(yè)務(wù)正在進行互聯(lián)網(wǎng)轉(zhuǎn)型，應(yīng)用開發(fā)項目逐漸增多，但是安全團隊規(guī)模依舊很小(5人以下)，根本沒有人力來執(zhí)行安全測試、代碼審計等安全工作，更別提安全開發(fā)體系建設(shè)。
• 案例2：某科技銀行，安全團隊規(guī)模很大，僅安全測試就有數(shù)十人，測試團隊每年的人力成本上千萬(一線城市)。項目逐年擴張，測試工作隨之增加，但人力成本不可能無限增加。

一般來說，常見的安全開發(fā)落地難點包括：

• 人力不充足：安全人員嚴(yán)重短缺;
• 人員的抵觸：自身安全能力不足，安全工作增加工作量但無法體現(xiàn)績效;
• 流程的變更：安全介入，導(dǎo)致流程改變，短時間無法適應(yīng);
• 項目周期緊：開發(fā)周期原本已經(jīng)很緊湊，加入安全工作后，時間上更加緊張。

三、安全賦能，合作共贏

無論是人力緊缺的小型安全團隊，還是人力充足的成熟安全團隊，要解決上面講到的這些難處，最有效的方法莫過于賦能。但賦能也要講究方式方法，不然可能適得其反。

1. 合理的體系

合理高效的管理體系是確保開發(fā)安全管控的前提，安全開發(fā)管理體系需要定義安全介入的時機和每個角色需要執(zhí)行的安全動作(安全工作和輸出物)，確保安全開發(fā)管控流程執(zhí)行到位。但是這就對以前的流程產(chǎn)生了侵入，在設(shè)計體系時，應(yīng)盡量避免產(chǎn)生新的制度和流程，采用對現(xiàn)有制度和流程修訂優(yōu)化的方式，降低執(zhí)行的門檻。

2. 常態(tài)化培訓(xùn)

對于缺乏安全經(jīng)驗的產(chǎn)品、開發(fā)等人員，應(yīng)提供必要的安全培訓(xùn)(體系、意識、技能)的支持，以幫助相關(guān)人員提升安全能力，完成相關(guān)安全工作。對不同人員需要提供的培訓(xùn)內(nèi)容也不太一樣，下表是培訓(xùn)內(nèi)容的一些參考：

3. 合作的態(tài)度

安全開發(fā)體系的制定和落地推廣離不開產(chǎn)品、開發(fā)、測試等部門和人員的認(rèn)可、參與，安全團隊不能讓大家認(rèn)為安全部門是在加碼任務(wù)，設(shè)置卡點，要以合作的姿態(tài)開展工作，前期應(yīng)以提供幫助解決安全問題為重。

舉個例子：

某傳統(tǒng)行業(yè)的科技子公司，在推行安全開發(fā)體系之前，先對開發(fā)部門進行調(diào)研，主要方向是收集開發(fā)部門日常工作中遇到的安全問題，了解開發(fā)部門非常頭疼邏輯越權(quán)、SQL注入和隱私數(shù)據(jù)安全的問題。安全部門將這些問題作為安全開發(fā)體系落地過程中的專題，提供編碼安全規(guī)范和代碼示例指引開發(fā)人員提升代碼質(zhì)量，從源頭上避免這些問題。編碼提交后，通過IAST測試平臺(交互式動態(tài)測試)，幫助開發(fā)人員查漏補缺。并且IAST發(fā)現(xiàn)的漏洞詳情非常詳盡：漏洞對應(yīng)的代碼位置、執(zhí)行過程展示、修復(fù)方法和示例代碼，甚至提供可以直接引用的安全組件，盡一切可能幫助開發(fā)復(fù)現(xiàn)和修復(fù)漏洞。

注：應(yīng)用安全測試目前在市場上有眾多的解決方案，其中最老牌、應(yīng)用最為廣泛的是SAST(靜態(tài))和DAST(動態(tài))測試工具，通過在源代碼(SAST)或公開對外接口(DAST)上運行安全掃描，可以在應(yīng)用上線之前識別并糾正許多漏洞。

然而隨著DevSecOps被廣泛接納，Gartner在2017年的研究報告中明確提倡用 Interactive Application Security Testing(IAST)交互式應(yīng)用安全測試替換SAST和DAST。

在后續(xù)的安全開發(fā)體系落地過程中，開發(fā)部門非常配合。在20多個試點項目中，發(fā)現(xiàn)并修復(fù)了近千個邏輯越權(quán)漏洞和數(shù)百個SQL注入漏洞，隱私數(shù)據(jù)的安全情況也得到大大改善。

4. 高效的安全工具

正如前面講到的例子，IAST可以幫助開發(fā)人員排查修復(fù)漏洞，其根本意義在于安全工具可以給安全能力相對較弱的人員提供安全賦能。選擇使用門檻低且檢測效率高的安全工具，可以在很短的時間內(nèi)落實相關(guān)環(huán)節(jié)的安全工作。另一方面，在使用優(yōu)良的安全工具過程中，相關(guān)人員對安全知識的掌握和認(rèn)知也會得到極大的提升。

5. 知識庫支持

知識庫主要是用于提升人員的安全能力和效率，例如，一般的產(chǎn)品經(jīng)理并不具備威脅建模的能力，需要提供威脅建模知識庫，知識庫會給出具體業(yè)務(wù)場景下的安全威脅和對應(yīng)的安全要求，幫助產(chǎn)品經(jīng)理快速準(zhǔn)確的完成威脅建模的工作。優(yōu)秀的知識庫都需要長期積累，平時需要由安全部門維護更新，沉淀項目中積累的問題，持續(xù)提升賦能效果。

四、安全運營，解決執(zhí)行力問題

賦能可以解決能力和效率的問題，但是不能解決執(zhí)行力的問題，需要配合安全運營來監(jiān)督和改善體系的運轉(zhuǎn)效果。根據(jù)實際情況，需要綜合考慮選擇合適的運營方式，這里提供一些運營維度作為參考。

單個項目運營卡點：

• 檢查各環(huán)節(jié)輸出物，例如：安全需求表、設(shè)計方案、安全測試報告…
• 漏洞檢測與修復(fù)情況，例如：代碼安全檢測報告、IAST安全測試報告、滲透測試報告，未修復(fù)漏洞與緩解方案…

全局安全運營：

• 全局漏洞統(tǒng)計：漏洞類型、漏洞數(shù)量、漏洞誤報率、漏洞修復(fù)率…
• 知識庫沉淀：自定義漏洞檢測規(guī)則、知識庫更新報告…

個人績效考核：

• 項目經(jīng)理：項目評級合理性
• 產(chǎn)品經(jīng)理：安全需求的全面性與合理性
• 開發(fā)人員：漏洞自查發(fā)現(xiàn)率、漏洞密度、漏洞修復(fù)時效……
• 測試人員：黑盒測試URL覆蓋度、漏洞測試發(fā)現(xiàn)率、安全功能測試準(zhǔn)確性

這里要強調(diào)一點，設(shè)立個人績效指標(biāo)不僅僅是為了考核相關(guān)人員安全工作的完成度，同時也是個人績效的體現(xiàn)，要在項目復(fù)盤和年度考評中考慮增加這方面的權(quán)重。增加人員積極性的同時，也為公司留住安全開發(fā)領(lǐng)域的寶貴人才。

五、關(guān)鍵突破點，高層支持

除了上述要點，安全開發(fā)體系要想很好的推進，最重要是要獲得IT高層領(lǐng)導(dǎo)的認(rèn)可，這樣才能獲取足夠的行政資源，推動以下事項：

• 購買專業(yè)咨詢服務(wù)，獲取專業(yè)體系建設(shè)建議和成熟知識庫
• 協(xié)調(diào)督促各個部門參與，完成管理體系和文化上的遷移
• 增加各崗位安全開發(fā)部分的人力績效預(yù)算
• 采購安全工具

如果開始不能獲取高層的最大支持，建議先從容易落地且有能看到成果的環(huán)節(jié)開始建設(shè)，例如IAST測試，用事實成果爭取高層的支持。

六、寫在最后

安全開發(fā)體系的建設(shè)，通過賦能和運營的結(jié)合，并在高層支持下，幫助安全部門在人力不足、項目快速擴張等諸多不利的環(huán)境下，建設(shè)起安全開發(fā)的管理體系，幫助安全部門改變被動現(xiàn)狀，獲得應(yīng)有的地位，發(fā)揮應(yīng)有的作用，避免因為安全問題造成企業(yè)核心業(yè)務(wù)馬失前蹄。

安全牛評

2020年新冠疫情給互聯(lián)網(wǎng)行業(yè)提供了一個展示信息技術(shù)肌肉的機會，但遺憾的是行業(yè)領(lǐng)導(dǎo)者們在產(chǎn)品安全問題上紛紛“撲街”，從智能硬件、視頻會議、社交通訊到網(wǎng)盤業(yè)務(wù)，一系列重大安全違規(guī)事件不絕于耳，不但嚴(yán)重威脅用戶的隱私與數(shù)據(jù)安全，同時也給企業(yè)的品牌、業(yè)務(wù)和市值帶來巨大傷害。

從網(wǎng)絡(luò)安全經(jīng)濟學(xué)的角度來看，產(chǎn)品安全問題并非“產(chǎn)品”問題，冰山以下是一個全局問題——如何安全地敏捷化和數(shù)字化，如何打通應(yīng)用安全、數(shù)據(jù)安全/隱私保護的經(jīng)絡(luò)，把Sec塞進DevOps不會比把大象塞進冰箱更輕松，打造全局化和敏捷化的安全能力，絕不是企業(yè)安全團隊能獨自完成的，這應(yīng)該是企業(yè)所有人，尤其是CEO的責(zé)任。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文