数字化转型下的研发安全痛点

admin 2026-07-11 04:22:46 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 文章分析了数字化转型下研发安全面临的三大痛点:市场侧快速交付需求导致瀑布、敏捷、DevOps多种开发模式并存,增加了安全工作适配难度;技术发展带来多样化语言、框架与工具,使安全组件和扫描工具选择复杂化;研发基础设施不统一造成代码管理、构建发布流程各异,难以嵌入标准化安全测试。作者建议安全建设需结合具体研发模式因地制宜,强调统一规划与流程整合的重要性。 综合评分: 78 文章分类: 安全建设,应用安全,安全开发,解决方案,数据安全


cover_image

数字化转型下的研发安全痛点

原创

aerfa21 aerfa21

我的安全视界观

2024年7月15日 06:06 北京

在小说阅读器读本章

去阅读

很久以前,就想写一篇关于SDL与DevSecOps的文章,但疏于实践一直未能动笔。想写的原因很简单,因为总是听到有人说SDL落后、DevSecOps相关技术更高超。一提到研发安全建设,不分研发模式都在赶时髦一样地说DevSecOps。从我的观察来看,不结合研发模式来做研发安全,都是不成功的。

在数字化浪潮的推动下,一些公司已经完全步入DevOps模式,有的则出现瀑布、敏捷或DevOps并存,且后者是居多的。所以如何在多种研发模式下进行有效的研发安全建设,成为一个必须解决的难题。经过近十年的实践,终于在探索解法上有一点点收获与经验,于是有了“深耕研发安全”这一系列文章。

本文是开篇,介绍在数字化转型过程中,研发安全的工作模式与方法的迭代升级。从研发安全体系建设的角度出发,总结出难度比较大的三个典型问题。

01 市场侧的快速交付需求

       ———————————

市场需求不断变化,商机一瞬即逝。产品为实现抢占市场的需求,要求背后的研发和交付团队能够快速响应,对于安全团队来讲也是一样的。但纵观整个公司来看,有的业务严格按照瀑布开发计划执行、研发周期很长,有的业务又没有快速部署的需求,于是就出现了多种开发模式并存的状态:

(图片创意来自互联网)

三种主要模式的区别如上图所示,表面上在于研发阶段所占时长、顺序的不一样,往里看还有研发、运维团队工作模式、研发工具的差异,这给安全工作带来了很大的挑战。

02 技术发展带来的多样化

       ———————————

其次是技术发展带来一些变化,很多年前在说PHP是最好的语言,现在很多大型的业务网站其实都还是Java,不过Go的应用也非常广泛。公司内部的研发技术栈,基本符合外部的趋势。但除了这三个外,主流语言还有C、C++、C#、Python,内部使用的语言还有ruby、rust、swift、Visual Basic…

(图片创意来自互联网)

于是就出现了第二个比较大的挑战,表面看是研发语言种类很多,往里看则是开发框架、人员技能的差异。相关的安全工作开展,如安全组件、编码安全规范、静态代码扫描工具、开源组件安全管理、安全人员能力…也随之变得复杂。

03 研发基础设施的不统一

       ———————————

第三是研发基础设施没有完全统一,比如由于历史原因产品线各自管理代码和发布系统,公司层面缺少强有力的配置管理团队做全局管控…就会在出现各种代码管理工具、各类构建和发布系统。表面上看是研发工具多种多样,往里看则是研发流程(CI&CD)的不一样。

对于安全测试工具嵌入不同的流程,同样带来了巨大的麻烦。

上述的每一个问题,都是安全团队遇到的痛点。当这些点都集中在一块儿时,困难好比是一个类似乘积的关系,瞬间被放大了很多倍。感觉遇到了一种混沌的状态,安全工作没有了抓手,甚至是无从下手。


长按识别二维码,和我交流

More…

— SDL 100问 

  • SDL100问:我与SDL的故事
  • SDL 1/100问:SDL与DevSecOps有何异同?
  • SDL 2/100问:如何在不同企业实施SDL?
  • SDL 3/100问:SAST误报太高,如何解决?
  • SDL 4/100问:SDL需要哪些人参与?
  • SDL 5/100问:在devops中做开发安全,会遇到哪些问题?
  • SDL 6/100问:如何实施安全需求?
  • SDL 7/100问:安全需求,有哪些来源?
  • SDL 8/100问:安全需求怎么实现自动化?
  • SDL 9/100问:实施安全需求,会遇到哪些难题?
  • SDL 10/100问:安全需求和安全设计有何异同及关联?
  • SDL 11/100问:设计阶段应开展哪些安全活动?
  • SDL 12/100问:有哪些不错的安全设计参考资料?
  • SDL 13/100问:安全设计要求怎么做才能落地?
  • SDL 14/100问:有哪些威胁建模方法论?
  • SDL 15/100问:有哪些威胁建模工具?
  • SDL 16/100问:如何开始或实施威胁建模?
  • SDL 17/100问:威胁建模和架构安全评审,有何异同?
  • SDL 18/100问:编码阶段,开展哪些安全活动?
  • SDL 19/100问:如何选择静态代码扫描(SAST)工具?
  • SDL 20/100问:如何选择开源组件安全扫描(SCA)工具?
  • SDL 21/100问:SCA工具扫描出很多漏洞,如何处理?
  • SDL 22/100问:SCA工具识别出高风险协议,如何处理?
  • SDL 23/100问:如何制定一份有用的开发安全规范?
  • SDL 24/100问:如何做到开发安全规范的有效实施?
  • SDL 25/100问:应该如何选型代码安全扫描工具?
  • SDL 26/100问:代码安全扫描应该设置哪些指标?
  • SDL 27/100问:如何提升开发人员的安全意识?
  • SDL 28/100问:在编码阶段加入安全检查后,如何处理带来的时间压力?
  • SDL 29/100问:白盒检测工具存在局限性,如何进行补偿?

— 软件供应链对抗探索 

  • 1软件供应商面临的攻防实战风险
  • 2 软件供应商实战对抗十大安全举措
  • 3 软件供应商攻防常规战之SDL

——— 实战演习 ———

  • 1 何为多维度的视角
  • 2 关于对演习的期望
  • 3 公司层面统筹布局
  • 4 实战攻防演习下的产品安全保障
  • 5 产品安全事件定级评分方法
  • 6 演习前红队暗泉涌动投毒
  • 7 面向情报公司付费信息的应急
  • 8 面向互联网侧情报信息的应急
  • 9 客户侧产品推送样本事件处置
  • 10 某邮箱被攻击情报的自我检查
  • 11 办公网出口地址攻击客户蜜罐
  • 12 SRC白帽子突破边界进业务网
  • 13 某部门下发零日漏洞确认函处置
  • 14 公司溯源团队查到团队内部成员
  • 15 演习后对工作技能的复盘总结
  • 16 演习后认知外的见微知著

——— 安全运营 ———

  • 安全事件运营SOP:软件供应链投毒事件
  • 安全事件运营SOP:接收漏洞事件
  • 安全事件运营SOP:webshell事件
  • 安全事件运营SOP:蜜罐告警
  • 安全事件运营SOP:网络攻击
  • 安全事件运营SOP:钓鱼邮件
  • 安全事件运营SOP:基于实践的安全事件简述
  • 企业级供应链投毒应急安全能力建设
  • 应急能力提升:实战应急困境与突破
  • 应急能力提升:挖矿权限维持攻击模拟
  • 应急能力提升:内网横向移动攻击模拟
  • 应急能力提升:实战应急响应经验
  • 应急能力提升:应急响应报告点评
  • 应急能力提升:应急响应专题总结会
  • 应急响应:redis挖矿(防御篇)
  • 应急响应:redis挖矿(攻击篇)
  • 应急响应:redis挖矿(完结篇)

——— 软件安全 ———****

  • 开篇
  • 安全培训
  • 安全需求
  • 安全设计
  • 安全开发
  • 安全测试
  • 安全审核
  • 安全响应
  • 完结篇(全系列paper下载)
  • 浅谈安全产品的hvv安全之道
  • Shift Left在开发安全中的应用

——— 企业安全 ———****

  • 企业安全建设需求
  • 企业安全威胁简述
  • 企业安全架构建设
  • 企业安全项目-测试环境内网化
  • 企业安全项目-Github信息泄露
  • 企业安全项目-短信验证码安全
  • 企业安全项目-前端绕过专项整改
  • 业务安全之另类隐患
  • 应用发布之安全隐患
  • 甲方眼里的安全测试
  • 基于堡垒机的自动化功能实践1****
  • 基于堡垒机的自动化功能实践2
  • 基于堡垒机的自动化功能实践3
  • 基于堡垒机的自动化功能实践4
  • Nmap操作系统探测技术浅析
  • 漏洞情报调研
  • 漏洞调研报告(非完整版)
  • 从漏洞视角看敏捷安全

——— 渗透测试 ———****

  • 安全运维那些洞
  • 安全业务那些洞
  • 那个简单的威胁情报
  • Android APP数据存储安全
  • 搜集SRC信息中的“技术活儿”
  • 常规渗透瓶颈,发散思维突破

——— 安全开发 ———****

  • python武器库
  • 漏洞扫描器资产处理
  • python代码审计武器I
  • python代码审计武器II
  • Nodejs代码审计武器
  • fortify漏洞的学习途径

——— 个人体验 ———****

  • 如何学习这么多的安全文章(实践篇)
  • 如何学习这么多的安全文章(理论篇)
  • 漫谈在安全公司做内部安全的体验
  • C3安全峰会参后感
  • 提高认知效率秘籍
  • 向上型技术人的职业素养
  • 关于勇气的一次突破
  • 推荐:探索精神和财富自由之路

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:我的安全视界观 aerfa21 aerfa21《数字化转型下的研发安全痛点》

评论:0   参与:  0