开发安全现状及趋势分析：政策、市场与技术的三重体现

hwyzw

    全文共3491字，阅读时间约7分钟。

    第 1 部分

    安全发展现状及趋势分析

    目前，一些企业已经充分认识到开发安全在软件全生命周期中的重要性，国家也逐步要求企业从重点行业入手，提升软件安全开发能力。这体现在宏观政策、市场现状、技术趋势三个方面：

    宏观政策：《网络安全法》第三十三条规定，关键信息基础设施建设应当保证其性能支撑业务稳定持续运行，并保证安全技术措施同步规划、同步建设、同步使用。这完全符合应用程序开发安全理念，即构建意味着合规性。

    市场现状：2020年开发安全市场逐步发展，可以从企业自身对开发安全重要性的认识、企业客户加大开发安全预算投入、安全厂商持续涌入三个维度看出。

    技术趋势：该概念于2018年RSA大会上提出，受到国内企业追捧。作为安全领域逐渐进入成熟阶段的技术体系，其本质上继承了软件安全开发整个生命周期中安全门槛左移的理念。

    软件安全开发的全生命周期模型早已存在，并且有成熟的安全理论体系开发方法。可供参考的国内外知名模型框架有微软的SDL、OWASP的S-SDLC和CLASP、NIST SP800-64、BSIMM、SAMM等。软件安全开发流程、各阶段所需的安全活动以及持续运行后的评估体系都可以参考上述模型。然而，国内大多数企业在尝试开发安全系统时都会遇到很多问题，导致实施起来困难重重。主要痛点包括：

    1）软件安全开发的整个生命周期过程复杂，与大多数企业软件开发流程不兼容，难以有效控制；

    2）企业缺乏自动化工具和可视化平台的支持。面对迭代开发和持续交付，提高效率是迫切需要解决的问题；

    3）市场缺乏安全开发专业人员，具体的开发安全工作高度依赖人员的安全能力，无法有效落实；

    4）企业缺乏对开发安全实践的评估和审计能力，导致无法判断实施效果并针对相应的安全活动进行有效改进，最终流于形式。

    因此，无论是管理层还是参与具体开发安全工作的团队都应该从可行性维度考虑企业对于开发安全能力建设的思路，如何闭环，如何量化，如何不影响开发进度，如何自动化、智能化等，以期在实践中取得更好的实施效果。

    第2部分

    安全能力建设思路要点

    1、构建适合企业自身的发展保障体系

    一是全面排查企业发展模式和安全状况。了解企业内部相关信息后，评估现有安全实施流程、最新监管要求和行业最佳实践之间的差距，并听取部门相关人员对安全指南的意见和建议。 ，为安全开发体系的构建、修订和实施提供依据。

   

    软件安全开发体系实施过程中所需的知识库需要根据公司自身情况进行组织和定制。这就要求我们在需求阶段要特别关注不同的业务需求。需要根据公司所在行业的监管合规要求和行业特点。对业务场景进行风险分析和安全需求识别，通过威胁建模或威胁列表映射业务场景和安全需求，支撑后续的工具部署和运行。在设计阶段，针对每个安全需求提供安全、有效、可实施的设计方案，供开发人员在实现安全需求的过程中参考；在编码阶段，针对每个安全需求给出真实的安全编码示例，以及相应的安全组件使用导出说明；在测试阶段，为每个安全需求提供安全测试用例。

    在此基础上，还需要结合访谈、调查的结果，以安全开发管控工具为核心，定制适合企业的安全开发管控流程。需要明确：平台角色设置与安全开发管控流程涉及的角色之间的关系，哪些关键里程碑事件需要在平台上进行审核，哪些安全活动需要在平台上进行统一调度或自动化，从而最终确定快速可靠的一个接地气的软件安全开发体系。

    企业开发安全系统架构图

    2、构建自动化、可视化工具平台体系

    在快速迭代开发的过程中，盲目增加传统的安全工作必然会对软件交付进度产生负面影响。为了避免这种情况，企业应以软件开发流程为主线，构建自动化、可视化的安全开发管控工具平台。从开发需求阶段到上线后的运维阶段，都可以基于丰富、专业的安全开发知识图谱控制应用系统的安全开发流程。通过智能安全需求设计分析、安全漏洞管理、定制安全需求、安全设计和安全测试文档生成，并基于CI/CD引擎集成从编码到运维所需的第三方安全工具，构建自动化工作流程在保证发展安全的同时，实现最大限度的降本增效。

    在安全开发管控平台上对软件开发全生命周期涉及的安全活动进行统一管理，并动态集中展示安全数据，是安全开发管控工作价值的直观体现。

    工具平台系统图

    3、建立可衡量、可持续的评价体系

    在开发安全能力建设过程中，需要不断考虑整个体系的短板，以确保开发安全体系真正落到实处。重点内容包括安全开发体系建设过程中的安全开发评审和安全开发培训，安全需求分析过程中的威胁识别、策略合规性解读、安全需求覆盖，安全设计过程中威胁建模的合理性等。 、安全编码过程中的静态安全扫描Bug数量、测试验收过程中的安全测试和代码审计漏洞数量、部署和运维过程中的集中安全评估等。示例如下：

    1）在运营过程中，需要针对知识库无法覆盖的企业业务场景，导出有效的安全需求、安全设计、安全编码、安全测试用例。新的业务场景需要补充，以保证知识库能够支持平台自动化分析的全面性和正确性。

    2）在运行过程中，如果无法有效衡量安全需求是否得到了正确实施，则需要进一步确认和改进，并且安全需求必须与编码测试阶段检测到的缺陷进行有效匹配，以确保安全要求和安全设计。能够在编码测试阶段通过安全测试用例等工作指标。

    4.可选专家经验

    从绿盟科技自身服务多个行业企业客户的经验来看，大多数企业在安全能力建设上都能将上述三个思路和要点付诸实践。然而，仍有一些公司的组织结构和安全资源有限。投资等问题导致无法达到预期效果。这时，你可以考虑以下三个原则是否得到了有效落实：

    1）企业必须自上而下推动安全能力的发展，并有相应的组织架构支撑。

    2）针对不同角色，提供贯穿软件安全开发全生命周期的针对性安全培训。

   

    3）能够管理风险抵消并根据预期安全目标灵活调整安全活动。

    第三部分

    金融行业企业发展的安全实践

    在金融行业，随着监管的细化、从严和业务范围的扩大，业务系统需要频繁变更甚至开发新系统。当大量的应用系统是自主开发或委托开发时，更加注重业务功能的实现和性能。供验收。由于缺乏相应的技术手段和能力来测试交付的应用系统全生命周期的安全状态，导致上线后出现SQL注入、安全功能缺失等漏洞并受到攻击。这不仅影响企业遭受网络攻击后的正常业务运营，甚至给企业造成经济和声誉的双重损失。

    目前，软件开发项目的安全管理主要集中在代码扫描、级别防护测试等方面。缺乏软件开发整个生命周期的安全管理流程。而且，系统投产后修复漏洞的成本很高，甚至可能会延误预定的系统上线时间。 。为了加强软件开发项目全生命周期的安全管理，企业需要建立统一的软件开发项目安全管理制度、流程、技术规范和管理平台，并在软件开发项目的各个阶段增加一系列以安全为重点的活动。软件开发过程全面提高系统安全性。

    可以参考的实际流程如下：

    1、根据监管要求和行业最佳实践，结合客户实际情况，建立应用软件并制定全生命周期安全管理模型。其中涵盖了应用软件开发中涉及到的应用安全、终端安全、网络与通信安全、数据安全、系统安全等全部安全功能。

    2、根据客户应用系统的类型和特点，形成多套应用软件开发的安全管理场景，覆盖客户应用系统所有已知的安全开发需求。根据应用软件安全管理场景，形成各场景对应的完整的需求、设计、开发、测试的安全基线。

    3、结合公司现有的软件开发基础设施，通过API接口连接公司内部的软件开发项目管理平台和其他第三方工具，真正将安全活动融入到软件开发项目管理流程中。在安全开发管控平台上，对软件开发全生命周期涉及的安全活动进行统一管理，安全数据动态集中展示。

    4、根据应用软件开发安全管理解决方案，结合已建立的应用软件开发安全管理模型、技术资源库等，依托平台进行安全开发管控，提高应用软件效率开发的前提是保证应用软件开发的安全。

    第 4 部分

    结论

    安全能力建设最大的挑战是能否有效落地。借鉴上面介绍的开发安全能力建设实践，企业可以对方法和经验进行总结和建模，将流程化、经验化的工作转化为工具平台的自动化操作方法，大幅减少中级专业人员的工作量。 、专业技能要求。这不仅是发展安全实施的必由之路，也是可持续发展的核心。这也是保安服务行业未来的发展方向。