俗讲企业安全开发（一） – 作者:一只耗子

序一下:专栏刚刚下来，打算了很长时间想怎么写这个话题，毕竟企业安全开发最近比较热门，想让朋友们能够一起探讨学习进步。

网上有关企业安全开发的资料也很多，但是比较杂乱，我想着以一种通俗好理解的方式为大家详细解析一下这个话题，让正在从事安全开发的人员，想转型到安全开发方向的人员都可以更好理解。

——————————————————————————————————————————————————

安全开发是从安全角度指导软件开发过程的管理模式。

通俗来讲就是安全和开发相互结合，安全掌控大局，制定规范，开发遵循规范走。

刚画完这个图感觉真的丑，后来发现越来越顺眼。每个公司肯定有自己的流程规范，但不一定执行，有些业务至上的公司都不一定经过专业的功能测试，开发就都办了。sdlc其实可以说是完善制度，强制执行的过程，否则应用无法上线。

0x01.安全开发的背景

我们之所以建立安全开发流程，是因为当面面临的网络问题较为复杂。

1. 就去年的黑产市场来看，基本就是勒索挖矿各一半，我所知道的被勒索的厂家也有几十家，据朋友说他所在的某运营商常年被勒索，挖矿就更不计其数了。

2. 应用层漏洞层出不穷，而且危害巨大。去年的S2、weblogic发现即拿shell。还有一些老系统业务逻辑漏洞更是重灾区。

3. 目前的安全防护设备暂时无法做到完全防护应用层某些漏洞。

但有一点是值得肯定，自从我国颁布《网络安全法》后，网络安全问题大幅度下降，可以说从前两年的80%到今年的10%。

0x02.安全开发要解决什么问题

1.将设计、代码和文档等与安全相关漏洞减到最少

2.在软件开发的生命周期中尽可能的早地发现解决相关漏洞建立的流程框架;

3.为了实现保证最终的用户安全，在软件开发各阶段中引入针对项目安全和用户隐私问题的解决方案。

这一块我本来想通俗的说肯定事解决背景出现的问题，后来感觉不是很好，还是放上稍微官方的话。

0x03.安全开发面临什么难题

1. 业务需求太复杂，各种需求业务层出不穷，各种创新（抄袭），上线一个根据手机壳变色的业务让安全人员咋测。

2. 业务迭代快，要求上线速度，还不给时间进行测试，这个业务没测完下个业务已经上线了。

3. 新兴技术的使用，现在都要求敏捷开发，还要高性能高并发什么的，会使用一些较新的技术，关键是开发会用不行啊，做安全的需要了解你使用的框架或者中间件的安全性，等安全人员了解了，应用可能都下线了。

4. 甲方使用外包人员做开发，外包大家都懂，技术人员各种参差不齐，没毕业的实习生就说工作几年了，花 7 k  8 K 招来的技术能有多好，就算架构给力也备不住他把用户名密码写备注或者github上。

5.还有就是安全人员紧缺，特别是安全运维人员，我遇见过很多告诉他怎么修复漏洞打补丁之类的都没有用，需要我一步一步的告诉他怎么操作……不如给我挂的V我自己去弄。

6.乙方安全人员，每个厂肯定都有高手，但高手不可能给每个系统去做测试。所以一般都是技术一般的来测，这点我体会很深，真正的高手测出来的东西确实不一样。而且有些企业给的钱确实很少，所以企业也不得不派一些技术一般的人，这就会造成如下图的现象。

讲到这里第一篇就结束了，注明一点：文章所用的东西切记不要直接给领导做汇报之类，会死的很惨。

我在下一篇文章会附上我总结的本章的PPT（官方语言版）。

来源：freebuf.com 2019-04-15 15:43:53 by: 一只耗子