令狐冲的SDL(安全开发周期)引进手记

SDL 专栏收录该内容
4 篇文章 0 订阅

【事件背景】
话说令狐冲所在的华山剑派的信息技术部,最近又出事了!
原来,他所在的开发团队发布的一款名为“华山剑谱”的手机App被人发现含有木马,经过了解,原因是开发工具不是官方正版的,而是从网上下载了一个被植入木马的Xcode修改版。这谁能想到啊!
而就在前不久,“华山剑谱文化推广”网站也被入侵了好几次,内部电子资料被黑客悉数拿走,甚至连来网站购买纪念品的全部用户隐私资料也泄露了,这些资料包括姓名、手机号、地址等,如果被用于诈骗,那后果严重去了。
老大岳不群很生气,责成令狐冲想办法,不能再出事了!!!
能怎么办?
咱们华山派可不像少X派那么有钱,没办法花几百万去买个咨询服务帮忙规划一下,再花上几千万购买他们建议的设备、软件,还有每年的维护费也得几百万呢。招聘几个安全专家?令狐冲打算算一下可能需要多少钱,等等!老大会批安全预算?还是算了吧。令狐冲本想去找岳不群聊一下钱的问题,可按照对老大一贯的了解,又止步了,他没去都能想到答案:你们自己想办法搞定!因为前年购置办公设备的费用也是砍了又砍,最后购买的低配电脑,现在都卡成翔了!
没有专业的安全人员帮忙把关,只能自己学习摸索,照着开发教程做的开发,后来发现坑太多了,每发生一次入侵事件,就能发现一个或几个坑(不安全的编码),后面继续开发的时候,就提醒自己记得绕过这些坑。有时候遗忘了,这些坑还没有排查,新版本已经发布出去了。不断的有一些新的坑被发现,或者是老的坑没有检查又被人挖出来,所以,网站还是经常被黑客光顾。

【寻找解决方案】
好在混迹江湖这么多年,朋友不少,其中不乏一些安全圈的,有的供职于知名互联网企业,也有的专职安全服务,就打算了解一下他们是怎么做的。一通电话下来,总算摸清了一些门道:
 小公司基本没有自己的安全人员,安全方面基本不考虑,漏洞只能发现一个解决一个,业务上都忙不过来,哪里会关注安全呢,跟咱们自己的情况很像。
 中等规模的公司有自己的安全人员帮忙把关,有一些基本的规范和不是很完善的流程,即使被发现漏洞,也基本能够得到及时处理。
 大公司都有自己的安全团队和一套体系化的方法论、IT系统和流程来支撑,有安全内控管理体系,有流程化的作业方式,有人负责管理策略、有人负责技术标准、有人负责流程、有人负责评审、还有人负责实施,分工协作,各司其职。
看来,中小公司的做法基本没有什么参考价值了。
问了大公司的朋友,我们能否效仿?
得到的回答是,你这规模太小,我们光维持这套流程体系的正常运转就有好几百人呢,而且所用到的系统还是公司自己开发的,公司有版权,这个是不能给你的;不过,你可以看看外面的安全服务,有些做的还不错。
安全服务是个什么鬼?经过一番了解,有一些专门对外提供安全服务的公司,有做渗透测试为主的(咨询为辅)、有做众包测试(就是一群白帽子黑客帮你测试)的,目前流行的是众包测试。令狐冲心动了,经熟人推荐,找到一家众包测试公司,并找老大申请到少量预算,体验了一番,结果还真的很给力,白帽子帮他找到了几十个高危漏洞并给出了改进建议。
看到这些报告,令狐冲安排信息技术组的几个人,按照建议(过滤输入等),很快把这些漏洞中的大部分堵上了。入侵事件目前看来是消停了。
过了一个月,又有新版本上线,上线之后,你猜怎么着?
没错,又被入侵了!经人指点,这次黑客使用的还是老漏洞,只不过,手法稍微变化了一点。真是防不胜防啊!令狐冲感叹道。

后来,令狐冲慢慢了解到:
 做好安全是一项系统化的工程,就算是业界知名的安全产品或安全解决方案,也都是只能解决某些针对性的问题;
 没有任何一款产品能够解决目前面临的所有安全问题,没有一劳永逸的解决方案;
 大公司都有一套自我完善的安全体系,攻击方式层出不穷,应对策略也应逐步适应、随机应变!
 令狐冲武功再高,也斗不过一支军队!靠个人英雄的时代已经过去了,需要逐步建立一套适应自己业务的安全体系,并不断的去完善它;
 原来大公司里面用的那一套体系,名字叫做SDL,它是Security Development Cycle(安全开发周期)的缩写,从源头开始进行安全控制,通过规范的项目管理过程和关键安全任务的引入,确保开发设计及部署过程中遵从安全标准与规范,保障所交付产品的安全性。

原来,大公司的秘密武器就是这个叫做SDL的东东!
那么,我们这么小的团队,可以实施SDL吗,我们根本没有经验,也没有人熟悉这个领域。如果有现成的网站提供SDL SaaS服务,我们不就可以立即开始搭建我们自己的安全体系了吗。后来,一个朋友悄悄告诉他,有个叫做Janusec的公司提供了一个免费的SDL SasS服务平台。

【SDL SaaS试用体验】
令狐冲按照朋友的指引,找到了这个SDL SaaS服务平台(http://saas.janusec.com )。
按照网站上的说明,这是一个以强化安全内控为特色的在线项目管理平台,它源于安全开发周期方法论和国际/国内巨头公司的项目管理实践,从源头开始进行安全控制,通过规范的项目管理过程和KCP任务的引入,确保开发设计及部署过程中遵从安全标准与规范,保障所交付产品在全生命周期过程中的安全性。
令狐冲注册了一个账号,并且把小伙伴岳灵珊、任盈盈、仪琳,还有师母宁中则、老前辈风清扬、江湖朋友东方不败等都拉了进去,开始体验:
首先,建立起自己的产品团队:
myteam
创建了自己的项目(按照产品的版本进行立项,一个版本就是一个项目):
projectlist
首页看起来是这个样子:
front
特色简介:
feature
其实,令狐冲发现最主要的特色是在这里(自动添加关键任务):
projectinfo
点击打开项目详情,可以看到全部的KCP任务:
kcplist
令狐冲看到项目中已经自动添加了好多任务,都是以KCP开头的,这个KCP是个什么鬼?到该平台的术语中一查,原来KCP就是这个:关键控制点(Key Control Point),或关键检查点(Key Check Point),属流程中可选的重要任务节点,如果该节点未通过审核或者未正常完成,则不能进入下一阶段。
devcheck1
而且,针对客户端的自检项和针对Web的自检项还有点不一样:
devcheck2
“咦,第一条就跟最近的安全事件有关耶”,令狐冲一拍大腿,然后喊旁边的岳灵珊过来看。开发的小伙伴听到了,一起围过来。
令狐冲趁机向大家介绍了SDL安全开发周期与流程管控的机制:
设计阶段有安全设计自检,规避方案设计上的安全风险;
开发阶段有安全开发自检,提前发现代码问题与纠正;
测试阶段有安全测试自检,提供安全测试用例,通过这些用例,高危漏洞基本就排除掉了;
上线后,有安全部署自检,看看有哪些措施还没有做,执行一条就确认一条,不制造低级的错误,如弱口令、不该对外网开放的端口对外公开、使用root权限运行业务逻辑或应用中使用数据库root账号等。
deploycheck
自检之后,还有一个复核环节,让在安全方面有经验的人员复核,可以提前规避大多数问题、低级错误等。
令狐冲当即决定,以后我们也实行SDL了,把手上的几个项目管理起来。

【后记】
自从使用了这套SDL安全管控平台以后,安全上不再手忙脚乱了。令狐冲已经做到了心中有数、处变不惊。
虽然,偶尔仍有漏洞报告过来,但是频度和次数已经远远小于从前,不断改进优化,最近他们已经2个月没有收到漏洞报告了。
令狐冲终于不再被无休止的入侵、APP漏洞等事件烦扰,他终于又可以和小伙伴们一起愉快的玩耍了,什么冲灵剑法、辟邪鞭法、竹林弹琴等。

附件:
令狐冲的SDL(安全开发周期)引进手记

  • 0
    点赞
  • 0
    评论
  • 0
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

©️2021 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值