3.7.2 SDL落地率低的原因


1. DevOps的交付模式

互联网频繁的迭代和发布,不同于传统的软件开发过程。如果一个软件要一年交付,那么在前期抽出2~4周做安全设计也可以接受,但在互联网交付节奏下,可能一周到一个月就要发布版本,你可能没有足够的时间去思考安全这件事。对于SDL会拖慢整个发布节奏这个问题上,安全团队去推动也会直面公司管理层和研发线的挑战。不过当你有经验丰富的安全人员和自动化工具支持时,SDL在时间上是可以大大缩短的。

2. 历史问题

99%的甲方安全团队的工作都是以救火方式开始,SDL从来都不是安全建设第一个会想到的事情,而且业内心照不宣的一个原因是,“事前用不上力,偏事后风格的安全建设”贯穿于大多数安全团队的主线。之所以如此,原因是第一有火必救,有的团队救火上瘾,有的则能抽身转向系统性建设;第二想在事前用力,需要自己足够强大,能摆平研发,不够强大就会变成庸人自扰,自讨没趣,还不如回避。

3. 业务模式

大多数平台级互联网公司的开发以Web为主,超大型互联网公司才会进入底层架构造轮子的阶段,而对于以Web产品为主的安全建设,第一是事后修补的成本比较低,屡试不爽;第二是部分产品的生命周期不长,这两点一定程度上会让很多后加入安全行业的新同学认为“救火”=“安全建设”。但是在甲方待久了的人一定会发现,哪怕是Web,只要系统比较大,层层嵌套和不同子系统间的接口调用,会使得某些安全问题的修补成为疑难病症,可能就是设计之初没有考虑安全,致使问题不能得到根治。时间一久,技术债越积越多,大家最后一致默认这个问题没法解决。

4. SDL的门槛

其实SDL是有门槛的,而且还不低。最重要有两点:第一点是安全专家少,很多安全工作者懂攻防但未必懂开发,懂漏洞但未必懂设计,所以现实往往是很多安全团队能指导研发部门修复漏洞,但可能没意识到其实缺少指导安全设计的积累,因为安全设计是一件比漏洞修复门槛更高的事。看业内很多技术不错的安全研究者,写的文章,往往前半篇漏洞分析很给力,但到了安全建议环节好像就觉得少了点什么。第二点是工具支持少,静态代码扫描、动态Fuzz等,工欲善其事必先利其器,Facebook宣称其最好的程序员是投入到工具开发的,而对于国内很多安全团队而言,最好的人都不会用在工具开发上,而是奋斗在攻防第一线做救火队长。稍微好一点的情况是这帮人投入在做安全机制建设上,而业务部门也不会来帮助安全团队开发安全工具。这还跟公司整体上是否重视自动化测试有关,如果公司在测试领域的实践没有做到很前沿,那么安全的黑白盒测试也不会注重工具化建设,代码覆盖率和路径深度等更加不会有人去关注了。实际上不一定要在这个场景下自己去造轮子,用商业工具是不错的选择。

互联网企业安全高级指南3.7.2 SDL落地率低的原因相关推荐

  1. 高质量解读《互联网企业安全高级指南》三部曲——实践篇

    前言: 高效读书,一张逻辑图读懂.读薄书中重点. 注:下面文字只是对逻辑思维图的"翻译",节省时间,只看图即可. 实践篇逻辑思维图 1.    业务安全与风控 1.1.    说明 ...

  2. 【读书笔记】《互联网企业安全高级指南(赵彦等)》

    文章目录 理论篇 第一章 安全环境与大背景 1. 企业安全包括哪些事情 1. 互联网企业和传统企业在安全建设中的区别 参考链接 理论篇 第一章 安全环境与大背景 1. 企业安全包括哪些事情 企业安全涵 ...

  3. 互联网企业安全高级指南1.2 企业安全包括哪些事情

    1.2 企业安全包括哪些事情 企业安全涵盖7大领域,如下所示: 1)网络安全:基础.狭义但核心的部分,以计算机(PC.服务器.小型机.BYOD--)和网络为主体的网络安全,主要聚焦在纯技术层面 2)平 ...

  4. 互联网企业安全高级指南3.5 选择在不同的维度做防御

    3.5 选择在不同的维度做防御 攻击的方法千千万万,封堵同一个安全风险的防御方法往往不止一种,如何选择性价比最高的手段是甲方安全从业者需要权衡的. 1. 技术实现维度场景 在纵深防御的概念中(参考后面 ...

  5. 高质量解读《互联网企业安全高级指南》三部曲(技术篇)——办公网络安全

    前言: 高效读书,一张逻辑图读懂.读薄书中重点. 注:下面文字只是对逻辑思维图的"翻译",节省时间,只看图即可. 办公网络安全逻辑思维图 1.    说明 1.1.    办公网络 ...

  6. 互联网企业安全高级指南读书笔记之网络安全

    网络入侵检测 传统 NIDS 绿盟 IDS 体系架构 绿盟 IPS 体系架构 IDS/IPS 部署示意图 大型全流量 NIDS 由于 NIDS 采用的是基于攻击特征的签名库,只要加载的攻击特征一多,系 ...

  7. 互联网企业安全高级指南3.6 需要自己发明安全机制吗

    3.6 需要自己发明安全机制吗 1. 安全机制的含义 首先解释一下发明安全机制这句话的意思.安全机制包括:常见的对称和非对称加密算法,操作系统自带的RBAC基于角色的访问控制,自带的防火墙Netfil ...

  8. 互联网企业安全高级指南读书笔记之基础安全措施

    互联网服务安全域抽象示例 虚线部分代表安全域的边界,把不同的业务(垂直纵向)以及分层的服务(水平横向)切开,只在南北向的 API 调用上保留最小权限的访问控制,在东西向如无系统调用关系则彼此隔离 生成 ...

  9. 高质量解读《互联网企业安全高级指南》三部曲(技术篇)——移动应用安全

    前言: 高效读书,一张逻辑图读懂.读薄书中重点. 注:下面文字只是对逻辑思维图的"翻译",节省时间,只看图即可. 移动应用安全逻辑思维图 1.    说明 1.1.    互联网公 ...

最新文章

  1. MinGW-notepad++开发c/c++程序
  2. vue根据不同权限显示图片_vue如何实现路由权限控制
  3. 精通python语言要多久-这样学可以精通Python语言
  4. 如何在Cocos2D游戏中实现A*寻路算法(五)
  5. (转)安装黑苹果 MAC OS X Lion 10.7.2过程 (未验证)
  6. cfb为什么不需要填充_为什么很多高中生数学成绩不理想,需要补课?因为不熟练啊!...
  7. difference between SAP UI5 RTL false and true - set breakpoint to change behavior
  8. linux驱动之可加载模块
  9. 如何巧妙的运用好弹簧布局SpringLayout?
  10. Codeforces Round #529 (Div. 3) D. Circular Dance
  11. 【ZZ】神与学霸的区别
  12. 甘肃暴雨强度公式_最新给排水计算软件,16大功能常用公式自动计算,配11套施工方案...
  13. 单片机矩阵键盘扫描程序c语言,51单片机矩阵键盘扫描程序详解
  14. 【垂直切换】TD-SCDMA与TD-LTE异构网络垂直切换仿真
  15. 模拟电路9(微变等效电路法对共射基本放大电路进行分析)
  16. windows系统如何真正隐藏文件夹[转载]
  17. 最#全#的#海#淘#网#址#大#全
  18. js获取当前月有几周(附带一个小组件)
  19. 服务器事件查看器根据登录id如何查找信息,Windows中如何查看日志(如查看远程登陆的IP地址)以及常用日志ID...
  20. N个人都不坐自己位置的情况有几种

热门文章

  1. DirectShow学习
  2. zabbix frontends php,zabbix 3.0.3 安装
  3. 医学生如何选专业选科室?全网最全最详细分析
  4. Meta分析到底该怎么选题?
  5. 原 水质监测系统解决方案
  6. mysql怎么实现事务序列化_一文快速搞懂MySQL InnoDB事务ACID实现原理(转)
  7. linux共享内存的定义,共享内存是什么意思 Linux系统如何共享内存
  8. Java继承_java继承
  9. Python实现 logistic 回归算法
  10. 坚果云feodra(linux)启动失败