SDL开发初期 有哪些安全检测内容?

甲方在担任SDL期间,也在落地方面做了很多努力。第一,要看高层业务的脸色;第二,要装苦逼,扮猪吃老虎,这是一路走来的苦泪。话不多说,我们团队在SDL方向进行威胁建模和多维治理。本文作者将根据以往的治理工作,从0到1进行业务建设分析,给大家一个落地经验的参考。


SDL基本审计操作,在安全建设的初始阶段,我们将在赛前、赛后、赛后的基础上,着力完善和优化SDL的基础能力。事前审计,在事前维度,我们会以域名和服务密钥为单位对前后资产进行梳理,嵌入SOC进行运营管理,关闭安全审计流程。在项目上线之前,我们将在测试之前手动审查代码,并评估安全合规性的风险。

对于安全检查,一般包括:OWASPTOP10.常见SDL逻辑漏洞。此外,根据R&D的习惯,制定相关审核制度,开展重点检查,提高检测效率。


数据合规性将侧重于检查:数据接口是否脱敏。数据存储是否加密。传输是否加密。数据关联是否有安全问题。其中一些没有列出,将严格按照合规白皮书的标准执行。审核完成后,数据会保留在SOC平台上,检测员会督促业务生进行修复。如有延迟,系统工单将逐级推进,并通知其上级,直至业务方对闭环做出响应。虽然这些系统可能很难实现,但确实是必须的,需要自上而下的认可。只有把代码安全性指标,比如代码质量评估,加入到研发技术的KPI中,才能真正吸引大家对安全性的关注。


事项监督

在每个项目的大规模迭代期间,我们还将进行手动安全审核。除了迭代带来的安全问题,主要检查一些误加的在线测试数据,以及硬编码、弱密码配置、敏感数据打印等。因为当时的工具比较原始,除了使用半自动的代码审计工具(比如IDE、Fortify)之外,还读取第三方设备收集入库的日志,自己编写脚本进行过滤检查。当然,这些任务逐渐被连接到CICD管道的自动化平台所取代。

分享: