文章总结: 文章分析了数字化转型下研发安全面临的三大痛点:市场侧快速交付需求导致瀑布、敏捷、DevOps多种开发模式并存,增加了安全工作适配难度;技术发展带来多样化语言、框架与工具,使安全组件和扫描工具选择复杂化;研发基础设施不统一造成代码管理、构建发布流程各异,难以嵌入标准化安全测试。作者建议安全建设需结合具体研发模式因地制宜,强调统一规划与流程整合的重要性。 综合评分: 78 文章分类: 安全建设,应用安全,安全开发,解决方案,数据安全
数字化转型下的研发安全痛点
原创
aerfa21 aerfa21
我的安全视界观
2024年7月15日 06:06 北京
在小说阅读器读本章
去阅读
很久以前,就想写一篇关于SDL与DevSecOps的文章,但疏于实践一直未能动笔。想写的原因很简单,因为总是听到有人说SDL落后、DevSecOps相关技术更高超。一提到研发安全建设,不分研发模式都在赶时髦一样地说DevSecOps。从我的观察来看,不结合研发模式来做研发安全,都是不成功的。
在数字化浪潮的推动下,一些公司已经完全步入DevOps模式,有的则出现瀑布、敏捷或DevOps并存,且后者是居多的。所以如何在多种研发模式下进行有效的研发安全建设,成为一个必须解决的难题。经过近十年的实践,终于在探索解法上有一点点收获与经验,于是有了“深耕研发安全”这一系列文章。
本文是开篇,介绍在数字化转型过程中,研发安全的工作模式与方法的迭代升级。从研发安全体系建设的角度出发,总结出难度比较大的三个典型问题。
01 市场侧的快速交付需求
———————————
市场需求不断变化,商机一瞬即逝。产品为实现抢占市场的需求,要求背后的研发和交付团队能够快速响应,对于安全团队来讲也是一样的。但纵观整个公司来看,有的业务严格按照瀑布开发计划执行、研发周期很长,有的业务又没有快速部署的需求,于是就出现了多种开发模式并存的状态:
(图片创意来自互联网)
三种主要模式的区别如上图所示,表面上在于研发阶段所占时长、顺序的不一样,往里看还有研发、运维团队工作模式、研发工具的差异,这给安全工作带来了很大的挑战。
02 技术发展带来的多样化
———————————
其次是技术发展带来一些变化,很多年前在说PHP是最好的语言,现在很多大型的业务网站其实都还是Java,不过Go的应用也非常广泛。公司内部的研发技术栈,基本符合外部的趋势。但除了这三个外,主流语言还有C、C++、C#、Python,内部使用的语言还有ruby、rust、swift、Visual Basic…
(图片创意来自互联网)
于是就出现了第二个比较大的挑战,表面看是研发语言种类很多,往里看则是开发框架、人员技能的差异。相关的安全工作开展,如安全组件、编码安全规范、静态代码扫描工具、开源组件安全管理、安全人员能力…也随之变得复杂。
03 研发基础设施的不统一
———————————
第三是研发基础设施没有完全统一,比如由于历史原因产品线各自管理代码和发布系统,公司层面缺少强有力的配置管理团队做全局管控…就会在出现各种代码管理工具、各类构建和发布系统。表面上看是研发工具多种多样,往里看则是研发流程(CI&CD)的不一样。
对于安全测试工具嵌入不同的流程,同样带来了巨大的麻烦。
上述的每一个问题,都是安全团队遇到的痛点。当这些点都集中在一块儿时,困难好比是一个类似乘积的关系,瞬间被放大了很多倍。感觉遇到了一种混沌的状态,安全工作没有了抓手,甚至是无从下手。
长按识别二维码,和我交流
More…
— SDL 100问 —
- SDL100问:我与SDL的故事
- SDL 1/100问:SDL与DevSecOps有何异同?
- SDL 2/100问:如何在不同企业实施SDL?
- SDL 3/100问:SAST误报太高,如何解决?
- SDL 4/100问:SDL需要哪些人参与?
- SDL 5/100问:在devops中做开发安全,会遇到哪些问题?
- SDL 6/100问:如何实施安全需求?
- SDL 7/100问:安全需求,有哪些来源?
- SDL 8/100问:安全需求怎么实现自动化?
- SDL 9/100问:实施安全需求,会遇到哪些难题?
- SDL 10/100问:安全需求和安全设计有何异同及关联?
- SDL 11/100问:设计阶段应开展哪些安全活动?
- SDL 12/100问:有哪些不错的安全设计参考资料?
- SDL 13/100问:安全设计要求怎么做才能落地?
- SDL 14/100问:有哪些威胁建模方法论?
- SDL 15/100问:有哪些威胁建模工具?
- SDL 16/100问:如何开始或实施威胁建模?
- SDL 17/100问:威胁建模和架构安全评审,有何异同?
- SDL 18/100问:编码阶段,开展哪些安全活动?
- SDL 19/100问:如何选择静态代码扫描(SAST)工具?
- SDL 20/100问:如何选择开源组件安全扫描(SCA)工具?
- SDL 21/100问:SCA工具扫描出很多漏洞,如何处理?
- SDL 22/100问:SCA工具识别出高风险协议,如何处理?
- SDL 23/100问:如何制定一份有用的开发安全规范?
- SDL 24/100问:如何做到开发安全规范的有效实施?
- SDL 25/100问:应该如何选型代码安全扫描工具?
- SDL 26/100问:代码安全扫描应该设置哪些指标?
- SDL 27/100问:如何提升开发人员的安全意识?
- SDL 28/100问:在编码阶段加入安全检查后,如何处理带来的时间压力?
- SDL 29/100问:白盒检测工具存在局限性,如何进行补偿?
— 软件供应链对抗探索 —
- 1软件供应商面临的攻防实战风险
- 2 软件供应商实战对抗十大安全举措
- 3 软件供应商攻防常规战之SDL
——— 实战演习 ———
- 1 何为多维度的视角
- 2 关于对演习的期望
- 3 公司层面统筹布局
- 4 实战攻防演习下的产品安全保障
- 5 产品安全事件定级评分方法
- 6 演习前红队暗泉涌动投毒
- 7 面向情报公司付费信息的应急
- 8 面向互联网侧情报信息的应急
- 9 客户侧产品推送样本事件处置
- 10 某邮箱被攻击情报的自我检查
- 11 办公网出口地址攻击客户蜜罐
- 12 SRC白帽子突破边界进业务网
- 13 某部门下发零日漏洞确认函处置
- 14 公司溯源团队查到团队内部成员
- 15 演习后对工作技能的复盘总结
- 16 演习后认知外的见微知著
——— 安全运营 ———
- 安全事件运营SOP:软件供应链投毒事件
- 安全事件运营SOP:接收漏洞事件
- 安全事件运营SOP:webshell事件
- 安全事件运营SOP:蜜罐告警
- 安全事件运营SOP:网络攻击
- 安全事件运营SOP:钓鱼邮件
- 安全事件运营SOP:基于实践的安全事件简述
- 企业级供应链投毒应急安全能力建设
- 应急能力提升:实战应急困境与突破
- 应急能力提升:挖矿权限维持攻击模拟
- 应急能力提升:内网横向移动攻击模拟
- 应急能力提升:实战应急响应经验
- 应急能力提升:应急响应报告点评
- 应急能力提升:应急响应专题总结会
- 应急响应:redis挖矿(防御篇)
- 应急响应:redis挖矿(攻击篇)
- 应急响应:redis挖矿(完结篇)
——— 软件安全 ———****
- 开篇
- 安全培训
- 安全需求
- 安全设计
- 安全开发
- 安全测试
- 安全审核
- 安全响应
- 完结篇(全系列paper下载)
- 浅谈安全产品的hvv安全之道
- Shift Left在开发安全中的应用
——— 企业安全 ———****
- 企业安全建设需求
- 企业安全威胁简述
- 企业安全架构建设
- 企业安全项目-测试环境内网化
- 企业安全项目-Github信息泄露
- 企业安全项目-短信验证码安全
- 企业安全项目-前端绕过专项整改
- 业务安全之另类隐患
- 应用发布之安全隐患
- 甲方眼里的安全测试
- 基于堡垒机的自动化功能实践1****
- 基于堡垒机的自动化功能实践2
- 基于堡垒机的自动化功能实践3
- 基于堡垒机的自动化功能实践4
- Nmap操作系统探测技术浅析
- 漏洞情报调研
- 漏洞调研报告(非完整版)
- 从漏洞视角看敏捷安全
——— 渗透测试 ———****
- 安全运维那些洞
- 安全业务那些洞
- 那个简单的威胁情报
- Android APP数据存储安全
- 搜集SRC信息中的“技术活儿”
- 常规渗透瓶颈,发散思维突破
——— 安全开发 ———****
- python武器库
- 漏洞扫描器资产处理
- python代码审计武器I
- python代码审计武器II
- Nodejs代码审计武器
- fortify漏洞的学习途径
——— 个人体验 ———****
- 如何学习这么多的安全文章(实践篇)
- 如何学习这么多的安全文章(理论篇)
- 漫谈在安全公司做内部安全的体验
- C3安全峰会参后感
- 提高认知效率秘籍
- 向上型技术人的职业素养
- 关于勇气的一次突破
- 推荐:探索精神和财富自由之路
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:我的安全视界观 aerfa21 aerfa21《数字化转型下的研发安全痛点》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论