企业安全—SDL概述篇

0x00 前言

众所周知，从源头开始就开发安全的代码，比产品已经成型之后付出的代价要小很多，也就是一直在说的安全左移的概念。最好就是从一开始，大家就用最安全的代码，或者是框架，那么开发出来的产品必然会减少很多没必要的风险。

当然除了可以使用安全的框架，还有安全的意识以及安全的设计，编码漏洞是一种，设计漏洞也是一种，可能在实现某个功能的时候没有想太多，毕竟业务优先，但是设计完成开发完整之后才发现，有很严重的安全风险，所以SDL就出现了，目的就是为了能更早，更提前的发现风险，在设计之初，从思维开始灌输安全，并且辅助检测等手段，从而大幅度降低安全成本，提高效能。

0x01 整体流程概述

整个流程就是7个大项，17个基本点

简单的说一下每一个基本点的所有内容，然后再细分文章进行分析和理解。

1.SDL适用场景

SDL最为适配的是瀑布开发模式，一条流水线进行执行，但是整个整体就非常重，并且难以实施。

0x02 培训

培训其实主要涉及的内容包括，安全意识培训，以及安全编码规范，安全运维常识问题，主要的作用就是为了能够将安全意识进行宣贯，从而完成安全左移的目的，主要的核心就是安全深入人心。

当然培训还包括安全制度的宣贯，也就是基本的安全红线问题，什么该做，什么不该做，做了什么是安全的，都是我们应该考虑的问题。

0x03 要求

要求部分主要就是将一些规范制度列成文字或者文档的说明，并且将一些模糊的化的东西具现化，并且进行意识同步。

• 同步安全漏洞等级认知
• 定制开发checklist
• 安全编码规范
• 供应链安全
• 安全要求基线
• 安全评估

0x04 设计

其实设计主要的目的就是为了明确需求，然后针对不同的场景来分析可能存在的风险和威胁，通过威胁建模尽可能的收敛场景可能存在的攻击面，并且多层防护，达到纵深防御的目的

• 通过威胁建模设计软件安全方案
• 确保环境安全
• 安全编码规范以及测试规范
• 模糊测试
• SAST（动态扫描工具）
• 代码审计

0x05 实施

实施主要控制的就是开发过程中的安全

• 环境安全
• 框架、容器
• 插件检测
• RAST，IAST

0x06 验证

• 建立测试环境
• 全面代码审计
• 黑盒测试
• 渗透测试
• SAST扫描
• 现场维护

0x00 前言

众所周知，从源头开始就开发安全的代码，比产品已经成型之后付出的代价要小很多，也就是一直在说的安全左移的概念。最好就是从一开始，大家就用最安全的代码，或者是框架，那么开发出来的产品必然会减少很多没必要的风险。

当然除了可以使用安全的框架，还有安全的意识以及安全的设计，编码漏洞是一种，设计漏洞也是一种，可能在实现某个功能的时候没有想太多，毕竟业务优先，但是设计完成开发完整之后才发现，有很严重的安全风险，所以SDL就出现了，目的就是为了能更早，更提前的发现风险，在设计之初，从思维开始灌输安全，并且辅助检测等手段，从而大幅度降低安全成本，提高效能。

0x01 整体流程概述

整个流程就是7个大项，17个基本点

简单的说一下每一个基本点的所有内容，然后再细分文章进行分析和理解。

1.SDL适用场景

SDL最为适配的是瀑布开发模式，一条流水线进行执行，但是整个整体就非常重，并且难以实施。

0x02 培训

培训其实主要涉及的内容包括，安全意识培训，以及安全编码规范，安全运维常识问题，主要的作用就是为了能够将安全意识进行宣贯，从而完成安全左移的目的，主要的核心就是安全深入人心。

当然培训还包括安全制度的宣贯，也就是基本的安全红线问题，什么该做，什么不该做，做了什么是安全的，都是我们应该考虑的问题。

0x03 要求

要求部分主要就是将一些规范制度列成文字或者文档的说明，并且将一些模糊的化的东西具现化，并且进行意识同步。

• 同步安全漏洞等级认知
• 定制开发checklist
• 安全编码规范
• 供应链安全
• 安全要求基线
• 安全评估

0x04 设计

其实设计主要的目的就是为了明确需求，然后针对不同的场景来分析可能存在的风险和威胁，通过威胁建模尽可能的收敛场景可能存在的攻击面，并且多层防护，达到纵深防御的目的

• 通过威胁建模设计软件安全方案
• 确保环境安全
• 安全编码规范以及测试规范
• 模糊测试
• SAST（动态扫描工具）
• 代码审计

0x05 实施

实施主要控制的就是开发过程中的安全

• 环境安全
• 框架、容器
• 插件检测
• RAST，IAST

0x06 验证

• 建立测试环境
• 全面代码审计
• 黑盒测试
• 渗透测试
• SAST扫描
• 现场维护

0x07 发布

• 事件响应计划
• 最终评估&评估报告
• 发布和归档
• 补丁管理方案和流程

0x08 响应

• 监控
• 变更处理
• 技术支持
• 事件响应
• 漏洞，补丁管理

0x09 下线

• 服务下线处理
• 合规与隐私保护规范

0x10 SDL面临的挑战

• 缺乏自动化工具
• 安全人员和开发的沟通困难
• 威胁建模工作落地
• 安全无精力对每个应用都进行威胁建模
• 威胁建模难以复用（其实如果是多产品线的话还是部分可以复用的）

知识补充

企业安全

企业安全是指如何保护企业资产、员工和客户信息不受未经授权的访问、窃取、破坏和破坏的一组措施和实践。这些措施可以包括网络安全、物理安全、数据和信息安全、员工培训、危机管理和应急预案等。企业安全的目标是确保企业的安全和可靠性，防止任何形式的损失和威胁，以维护企业的声誉和稳定运营。企业安全是指如何保护企业资产、员工和客户信息不受未经授权的访问、窃取、破坏和破坏的一组措施和实践。这些措施可以包括网络安全、物理安全、数据和信息安全、员工培训、危机管理和应急预案等。企业安全的目标是确保企业的安全和可靠性，防止任何形式的损失和威胁，以维护企业的声誉和稳定运营。

SDL简介

软件安全SDL（Security Development Lifecycle）是指一种软件开发过程，其重点在于集成安全性及安全措施。通常包括以下步骤：

1.需求分析：确定软件的安全性需求，定义安全性目标，评估相关威胁并确定哪些功能需要在安全考量下实现。

2.设计阶段：将安全需求整合到系统架构中，进行安全模型设计并考虑安全缺陷可能的发生。

3.编码实现：开发过程中采用安全的编码规范和标准以确保代码的安全性。

4.代码审查：对代码进行安全性审查以确认代码是否存在潜在的安全隐患。

5.测试：安全测试旨在验证产品的安全性是否符合安全需求和安全模型。

6.发布和维护：在发布新版本后，需要对已发布软件进行持续监测，修复发现的安全漏洞。

软件安全SDL的目标是确保软件安全性，减少软件开发周期中可能出现的安全问题，最终提高用户对软件的信任度和安全性保障。软件安全SDL（Security Development Lifecycle）是指一种软件开发过程，其重点在于集成安全性及安全措施。通常包括以下步骤：

1.需求分析：确定软件的安全性需求，定义安全性目标，评估相关威胁并确定哪些功能需要在安全考量下实现。

2.设计阶段：将安全需求整合到系统架构中，进行安全模型设计并考虑安全缺陷可能的发生。

3.编码实现：开发过程中采用安全的编码规范和标准以确保代码的安全性。

4.代码审查：对代码进行安全性审查以确认代码是否存在潜在的安全隐患。

5.测试：安全测试旨在验证产品的安全性是否符合安全需求和安全模型。

6.发布和维护：在发布新版本后，需要对已发布软件进行持续监测，修复发现的安全漏洞。

软件安全SDL的目标是确保软件安全性，减少软件开发周期中可能出现的安全问题，最终提高用户对软件的信任度和安全性保障。