令狐冲的SDL(安全开发周期)引进手记
【事件背景】
话说令狐冲所在的华山剑派的信息技术部,最近又出事了!
原来,他所在的开发团队发布的一款名为“华山剑谱”的手机App被人发现含有木马,经过了解,原因是开发工具不是官方正版的,而是从网上下载了一个被植入木马的Xcode修改版。这谁能想到啊!
而就在前不久,“华山剑谱文化推广”网站也被入侵了好几次,内部电子资料被黑客悉数拿走,甚至连来网站购买纪念品的全部用户隐私资料也泄露了,这些资料包括姓名、手机号、地址等,如果被用于诈骗,那后果严重去了。
老大岳不群很生气,责成令狐冲想办法,不能再出事了!!!
能怎么办?
咱们华山派可不像少X派那么有钱,没办法花几百万去买个咨询服务帮忙规划一下,再花上几千万购买他们建议的设备、软件,还有每年的维护费也得几百万呢。招聘几个安全专家?令狐冲打算算一下可能需要多少钱,等等!老大会批安全预算?还是算了吧。令狐冲本想去找岳不群聊一下钱的问题,可按照对老大一贯的了解,又止步了,他没去都能想到答案:你们自己想办法搞定!因为前年购置办公设备的费用也是砍了又砍,最后购买的低配电脑,现在都卡成翔了!
没有专业的安全人员帮忙把关,只能自己学习摸索,照着开发教程做的开发,后来发现坑太多了,每发生一次入侵事件,就能发现一个或几个坑(不安全的编码),后面继续开发的时候,就提醒自己记得绕过这些坑。有时候遗忘了,这些坑还没有排查,新版本已经发布出去了。不断的有一些新的坑被发现,或者是老的坑没有检查又被人挖出来,所以,网站还是经常被黑客光顾。
【寻找解决方案】
好在混迹江湖这么多年,朋友不少,其中不乏一些安全圈的,有的供职于知名互联网企业,也有的专职安全服务,就打算了解一下他们是怎么做的。一通电话下来,总算摸清了一些门道:
小公司基本没有自己的安全人员,安全方面基本不考虑,漏洞只能发现一个解决一个,业务上都忙不过来,哪里会关注安全呢,跟咱们自己的情况很像。
中等规模的公司有自己的安全人员帮忙把关,有一些基本的规范和不是很完善的流程,即使被发现漏洞,也基本能够得到及时处理。
大公司都有自己的安全团队和一套体系化的方法论、IT系统和流程来支撑,有安全内控管理体系,有流程化的作业方式,有人负责管理策略、有人负责技术标准、有人负责流程、有人负责评审、还有人负责实施,分工协作,各司其职。
看来,中小公司的做法基本没有什么参考价值了。
问了大公司的朋友,我们能否效仿?
得到的回答是,你这规模太小,我们光维持这套流程体系的正常运转就有好几百人呢,而且所用到的系统还是公司自己开发的,公司有版权,这个是不能给你的;不过,你可以看看外面的安全服务,有些做的还不错。
安全服务是个什么鬼?经过一番了解,有一些专门对外提供安全服务的公司,有做渗透测试为主的(咨询为辅)、有做众包测试(就是一群白帽子黑客帮你测试)的,目前流行的是众包测试。令狐冲心动了,经熟人推荐,找到一家众包测试公司,并找老大申请到少量预算,体验了一番,结果还真的很给力,白帽子帮他找到了几十个高危漏洞并给出了改进建议。
看到这些报告,令狐冲安排信息技术组的几个人,按照建议(过滤输入等),很快把这些漏洞中的大部分堵上了。入侵事件目前看来是消停了。
过了一个月,又有新版本上线,上线之后,你猜怎么着?
没错,又被入侵了!经人指点,这次黑客使用的还是老漏洞,只不过,手法稍微变化了一点。真是防不胜防啊!令狐冲感叹道。
后来,令狐冲慢慢了解到:
做好安全是一项系统化的工程,就算是业界知名的安全产品或安全解决方案,也都是只能解决某些针对性的问题;
没有任何一款产品能够解决目前面临的所有安全问题,没有一劳永逸的解决方案;
大公司都有一套自我完善的安全体系,攻击方式层出不穷,应对策略也应逐步适应、随机应变!
令狐冲武功再高,也斗不过一支军队!靠个人英雄的时代已经过去了,需要逐步建立一套适应自己业务的安全体系,并不断的去完善它;
原来大公司里面用的那一套体系,名字叫做SDL,它是Security Development Cycle(安全开发周期)的缩写,从源头开始进行安全控制,通过规范的项目管理过程和关键安全任务的引入,确保开发设计及部署过程中遵从安全标准与规范,保障所交付产品的安全性。
原来,大公司的秘密武器就是这个叫做SDL的东东!
那么,我们这么小的团队,可以实施SDL吗,我们根本没有经验,也没有人熟悉这个领域。如果有现成的网站提供SDL SaaS服务,我们不就可以立即开始搭建我们自己的安全体系了吗。后来,一个朋友悄悄告诉他,有个叫做Janusec的公司提供了一个免费的SDL SasS服务平台。
【SDL SaaS试用体验】
令狐冲按照朋友的指引,找到了这个SDL SaaS服务平台(http://saas.janusec.com )。
按照网站上的说明,这是一个以强化安全内控为特色的在线项目管理平台,它源于安全开发周期方法论和国际/国内巨头公司的项目管理实践,从源头开始进行安全控制,通过规范的项目管理过程和KCP任务的引入,确保开发设计及部署过程中遵从安全标准与规范,保障所交付产品在全生命周期过程中的安全性。
令狐冲注册了一个账号,并且把小伙伴岳灵珊、任盈盈、仪琳,还有师母宁中则、老前辈风清扬、江湖朋友东方不败等都拉了进去,开始体验:
首先,建立起自己的产品团队:
创建了自己的项目(按照产品的版本进行立项,一个版本就是一个项目):
首页看起来是这个样子:
特色简介:
其实,令狐冲发现最主要的特色是在这里(自动添加关键任务):
点击打开项目详情,可以看到全部的KCP任务:
令狐冲看到项目中已经自动添加了好多任务,都是以KCP开头的,这个KCP是个什么鬼?到该平台的术语中一查,原来KCP就是这个:关键控制点(Key Control Point),或关键检查点(Key Check Point),属流程中可选的重要任务节点,如果该节点未通过审核或者未正常完成,则不能进入下一阶段。
而且,针对客户端的自检项和针对Web的自检项还有点不一样:
“咦,第一条就跟最近的安全事件有关耶”,令狐冲一拍大腿,然后喊旁边的岳灵珊过来看。开发的小伙伴听到了,一起围过来。
令狐冲趁机向大家介绍了SDL安全开发周期与流程管控的机制:
设计阶段有安全设计自检,规避方案设计上的安全风险;
开发阶段有安全开发自检,提前发现代码问题与纠正;
测试阶段有安全测试自检,提供安全测试用例,通过这些用例,高危漏洞基本就排除掉了;
上线后,有安全部署自检,看看有哪些措施还没有做,执行一条就确认一条,不制造低级的错误,如弱口令、不该对外网开放的端口对外公开、使用root权限运行业务逻辑或应用中使用数据库root账号等。
自检之后,还有一个复核环节,让在安全方面有经验的人员复核,可以提前规避大多数问题、低级错误等。
令狐冲当即决定,以后我们也实行SDL了,把手上的几个项目管理起来。
【后记】
自从使用了这套SDL安全管控平台以后,安全上不再手忙脚乱了。令狐冲已经做到了心中有数、处变不惊。
虽然,偶尔仍有漏洞报告过来,但是频度和次数已经远远小于从前,不断改进优化,最近他们已经2个月没有收到漏洞报告了。
令狐冲终于不再被无休止的入侵、APP漏洞等事件烦扰,他终于又可以和小伙伴们一起愉快的玩耍了,什么冲灵剑法、辟邪鞭法、竹林弹琴等。
附件:
令狐冲的SDL(安全开发周期)引进手记
令狐冲的SDL(安全开发周期)引进手记相关推荐
- 致敬金庸:武侠版编程语言...Java像张无忌还是令狐冲?
我就喜欢这样,等新闻消失,热点过去,人们快要遗忘的时候, 用自己的方式,想起他.让他被人想起. 短评:夫千里之远,不足以举其大:千仞之高,不足以举其深.<倚天屠龙记> 短评:这世间和张三丰 ...
- 令狐冲和TCP/IP协议的第三层协议的关系(经典)
今天突然想起来去看了看我以前在csdn的博客,发现一篇以前一直被奉为经典的文章,哈哈,再转过来和大家看看: 令狐冲十四岁那年进入华山,那年岳琳珊八岁,岳不群白天给两人指点剑法 ...
- 你是不是像令狐冲一样,看到对方全身上下都是破绽
一般在宿舍我是不写博客的,因为通常没那个心情. 不过现在无所事事 因为我想洗澡,可是宿舍的热水让借住的同学的同学,一个浑身有味的同学用了,他已经借住了三五个月了. 而且不止他一个,还有同学的女朋友的哥 ...
- Python学习笔记编程小哥令狐~持续更新、、、
Python学习笔记~编程小哥令狐 文章目录 Python学习笔记~编程小哥令狐 一.Python运行发生情况 二.变量 2.1变量引入前说明 2.2变量的命名和使用 2.3字符串 2.3.1使用方法 ...
- 【MySQL专题】MySQL中一条SQL是如何被执行的?---来自于令狐的独孤九剑
[MySQL专题]MySQL中一条SQL是如何被执行的? 前言 大家好,我是令狐,欢迎来到令狐的独孤九剑**[MySQL专题]**这节课跟大家聊一聊MySQL中一条SQL是如何被执行的. MySQ ...
- 最初,世上有许多令狐冲
林平之是一个标准的梁羽生式男主角:剑眉星目.面如冠玉的世家公子,身遭巨变,背负血海深仇,拜入高人门下苦练武艺--这是标准的武侠开场写法.然后高人的掌上明珠对他青睐有加,害得苦恋已久的大师哥在一旁咬牙切 ...
- 快速搭建SSM项目【最全教程】~令狐小哥版
快速搭建SSM项目[最全教程]~令狐小哥版 文章目录 快速搭建SSM项目[最全教程]~令狐小哥版 一.创建项目 二.集成spring依赖 三.创建applicationContext.xml文件 四. ...
- Easy Ajax with jQuery[令狐葱翻译版Part1]
原文作者:Akash Mehta 原文地址:http://www.sitepoint.com/article/ajax-jquery 翻译:令狐葱 (转载请注明以上信息) Ajax 在改变着web应 ...
- 2020-8-26 剑指offer编程小哥令狐 075211
剑指offer~编程小哥令狐 一.数组类~ 03.数组中重复的数字 class Solution{public void swap(int[] nums,int i,int j){int temp=n ...
最新文章
- SIMD指令集——一条指令操作多个数,SSE,AVX都是,例如:乘累加,Shuffle等
- 力扣(LeetCode):字符串转换整数 (atoi)
- 阿阳的机器人是谁_《铁甲小宝》里面的机器人角色都有谁
- mysql5.5和5.6版本间的坑
- 机器学习常见面试题整理
- mysql8.0.12怎么用_Mysql8.0.12安装教程方法 Mysql8.0.12安装教程
- linux access源码,从零开始学习Linux:Day04 源码安装Nginx 。acess/status/referer
- qq空间登录参数详细分析及密码加密最新版
- 离线安装Python包的三种方法
- 30岁 android,90后30岁倒计时
- Windows 11 已修复 AMD CPU 性能问题
- createrepo的用法
- 计算机毕业设计django基于python学生考试成绩数据分析与可视化系统(源码+系统+mysql数据库+Lw文档)
- 计算机基础-将机械硬盘换成固态硬盘
- 邻接矩阵/图/DFS/BFS
- Unity3D 游戏开发学习资料(不断更新中。。。)
- 2021年全国大学生电子设计大赛(一)赛题解析与预测
- 小米8刷入Magisk24.0并安装riru和EdXposed之刷机篇
- Disc在线端口扫描服务uz! version 5.0.0 suffers from a cross site sc
- 联想服务器怎么做系统备份,Lenovo笔记本一键恢复8.0如何进行系统备份