开发安全成RSAC创新沙盒热门，看默安DevSecOps最佳落地实践 – 作者:默安科技

以色列的安全开发管理厂商Apiiro在2021 RSAC创新沙盒中夺冠。Apiiro创始人是以色列国防部退伍军人，曾在微软负责软件风险管理，SDL也是微软提出的安全开发框架。

他们的参赛产品是代码风险可视化管理平台，通过机器学习和UEBA技术做信息整合处理，实时评估软件开发全流程的安全与合规风险，并提供CI/CD防入侵、开发人员异常行为识别等功能。尽管SDL安全开发生命周期已发展多年，但落地瓶颈依然显著，从这个角度来看，Apiiro夺冠也在情理之中。

默安科技作为国内开发安全领域的先行者和领导者，秉持“上医治未病”的安全理念，拥有贯穿需求、设计、编码、测试，以及上线运营的全栈开发安全能力，自主研发一套拥有完整知识产权、安全可控的“产品+服务+平台”的SDL/DevSecOps全流程方案，包括威胁建模STAC、白盒代码安全检查SAST、软件成分分析SCA、交互式安全测试IAST、黑盒应用安全扫描DAST、SDL研发安全管理平台、资产漏洞一体化管理平台等多个产品，与主流CI/CD系统无缝集成，帮助客户在应用上线前尽可能早地消灭高危漏洞、业务安全风险等在内的安全问题，从源头上避免安全事故。

默安科技的安全开发全流程方案目前已在金融、运营商、能源、政府、制造、软件、教育、医疗等行业积累了大量成功案例，在实际应用场景中为用户提供真实的安全价值，实现应用系统的安全左移；并受到Gartner、数世咨询等国内外权威研究机构的认可与推荐。

如何突破SDL落地瓶颈？让我们一起来看看默安科技SDL专家怎么说。近日，(ISC)²西南分会邀请技术专家刘传兴在其主办的“云讲坛”直播活动中作了《应用漏洞围猎 – OWASP S-SDLC安全实践》的主题分享。下文详细整理了演讲内容，围绕OWASP相关建设，剖析安全开发方向，并分享默安科技在SDL/DevSecOps落地方面的最佳实践。

01 SDL/DevSecOps的必要性 

当前企业安全面临内忧外患的局面。对内安全测试工具五花八门，误报率和易用性差距非常大，OWASP在2016年的Benchmark Project中就指出，各个工具测试效率差别很大。

可以看出，传统的DAST和SAST工具表现情况不如人意，DAST准确性仅18%，而SAST虽然准确性达到84%，但误报率却高达53%。而新兴的IAST测试工具准确性能达到惊人的100%。

与此同时，企业内部安全人员能力很多时候无法支撑庞大的业务规模。据某银行客户反馈，平均单个项目中，会出现1000+安全漏洞，其中高中危漏洞300+，而团队安全仅5人负责，不可能对所有漏洞做人工审计，而安全人员对漏洞报告的理解也存在局限。

另一方面，外部形势也不容乐观。应用安全已经成为攻击者眼中的“香饽饽”。据2019年hackone报告显示，72.3%的漏洞来源于Web应用。此外，政府对安全合规要求也越来越严格。除了国内的《网络安全法》和等保2.0，还有欧盟最为严格的通用数据保护条例等。

面对这样的困局，企业有无破解之道？

著名软件工程方法论专家Capers Jones在其《Applied Software Measurement: Global Analysis of Productivity and Quality》一书中用一张图解释了应用漏洞的产生规律，漏洞普遍发现阶段以及不同开发阶段中的漏洞修复成本。

85%的漏洞出现在编码阶段，但黄线代表的漏洞发现比例在编码阶段几乎为0，到单元测试、功能、系统测试阶段才被越来越多地发现，但红线所代表的漏洞修复成本在系统测试以前成倍上升，在应用发布上线后则呈指数级上升。

因此，在开发阶段介入SDL/DevSecOps方案显得尤为必要，在软件开发的早期阶段尽早发现安全问题，及时修复，极大地降低应用上线后的修复成本。

02 OWASP S-SDLC

OWASP作为国际权威的安全组织，很早就在SDL领域布局，建立了轻量级的应用SDL，简称S-SDLC。下图呈现了S-SDLC在不同阶段所推出的开源文档、工具以及体系化的培训。

总结S-SDLC可以发现三个突出的特点：

（1）标准化：一流“组织”建标准，建立衡量SDL成熟度的SAMM标准。

（2）体系化培训：详实的文档+配套的系统。

（3）安全扫描工具：第三方依赖检查-从Check到Track+强大的漏扫工具ZAP。

1. 文档与体系化培训

很多标准类的文档对用户落地SDL有很大的指导意义，供应商也可借鉴OWASP的思路丰富自己的产品与服务体系。这些文档也是OWASP体系化培训框架的重要组成部分。默安科技公众号不久前也给读者们推出了适用于应用构建阶段的《代码安全审计指南》。

为什么安全培训如此重要？

列夫托尔斯泰说：“幸福的家庭是相似的，不幸的家庭各有各的不幸。”安全也是这样，不同企业面临的安全问题也有区别。刘传兴引用曾为某国有企业作安全培训的经历加以说明。该单位代码中存在大量SQL注入。代码如下：

上述代码很明显是出自对安全不够了解的程序员之手。他理解应该用prepareStatement（预编译），而不是Statement（拼接），但用错了方法。安全代码如下：

开发人员表示这种不安全的编码方法来自于前辈的“指导”，“即安全又少写两行”。这种小聪明难以发现，而且可能会“传染”。因此，只有针对性的培训才能解决这些问题。

2. SDL模型-SAMM

软件安全成熟度模型（SAMM）项目是OWASP的经典项目之一，用于评估一个组织当前的软件安全实践情况，并制定和实施相关风险策略。评估主要从5个阶段（治理、设计、实现（构建）、验证和运营）的15个维度入手，包括威胁评估水平、安全要求与架构设计、安全测试、运营管理等，如下图：

成熟度模型的建立使不同企业之间的SDL具备可比性，是一种比较具有前瞻性的实践方法。

3. 工具

第三方依赖的安全性一直是应用安全不可逃避的话题，由于当前业务系统越来越复杂，第三方依赖主要存在以下几类威胁：

（1）管理困难。系统数量和业务增长使管理企业的第三方依赖越来越困难。

（2）存在已知的漏洞或后门。很多依赖版本无法确定，甚至有些第三方依赖开发的组织已停止更新维护，而业务系统中却仍在使用，就像坐在一个即将喷发的火山口上，危险随时有可能爆发。

（3）1day漏洞的管理。无法确定有多少依赖和依赖的版本，导致无法管理依赖产生的漏洞，而这种漏洞往往都是致命的，例如非常典型的fastjson反序列化漏洞、Struts2各种漏洞等。

OWASP强调直接依赖或间接依赖的成分不清晰，导致代码中的已知漏洞和后门易被疏忽。针对依赖项安全，OWASP有一套Dependency-Check（用于构建阶段的检查）和Dependency-Track（用于部署阶段的跟踪）的工具，相对简便易用，其不足之处是不支持更新国内漏洞库。

谈到扫描工具，不得不提的是DAST和IAST。DAST作为传统漏扫工具的代表，曾经风头一时无两。但随着技术的进步，其缺陷也愈发明显。通俗来说，传统的DAST扫描工具类似“无头苍蝇”，依赖爬虫技术，扫描范围非常有限。而新兴的交互式漏洞扫描工具IAST则为扫描工具加上了“眼睛”和“脑袋”。IAST借助功能测试，获取应用的接口，为扫描器加上了“眼睛”。同时，插桩技术以其独有的污点跟踪能力，“理解”应用的调用过程，巧妙规避防重放机制和加密机制，为扫描器增加“智慧”。

03 SDL/DevSecOps最佳实践

SDL/DevSecOps的建设不是一蹴而就的，而是循序渐进逐步完善的。刘传兴根据自己多年经验，总结了最佳实践供读者参考。他认为安全开发体系建设应从工具建设和问题治理入手，做出成效，由浅入深，再引入完整体系，保持每一步的投入都有最佳产出。

SDL最佳实践参考

从工具落地入手，再与开发项目管理平台以及CI/CD Pipeline等集成，再到整个开发安全体系的优化，包括各类管理流程，最后从安全意识教育、安全编码培训等角度提升相关人员的整体能力。

与此同时，达到企业内部的良性循环，也是默安科技在SDL/DevSecOps建设中考虑的重要一点，也就是做到“漏洞反哺安全开发流程”。当发现新的应用漏洞或风险后，企业内部反思各个开发阶段，哪个阶段出现遗漏，如何避免再次发生，同时，强化对开发人员的相关培训。

默安科技采用“产品+培训+管理+优化”的模式，成功为大量用户实现SDL/DevSecOps的全面落地。下图为一个银行类客户实施前后的漏洞数量对比。可以看出，漏洞数量相比于实施前，有大幅度下降，真正做到对应用漏洞的“全面围猎”。

来源：freebuf.com 2021-05-25 15:20:13 by: 默安科技