自从2002年2月比尔·盖茨(Bill Gates)给微软员工的著名备忘录以及2003年微软安全开发生命周期(Security Development Lifecycle,SDL)的形成以来,关于这个话题的讨论和写作已经很多了[6]。是时候呼吁改变方向了:安全必须成为软件开发生命周期的一个组成部分!不久之后,淘客选品,受微软倡议的启发,我们开始塑造SAP的安全软件开发生命周期(SAP Secure SDL)[1]。我们创建了SAP产品标准安全,包括所有应用程序开发部门的安全要求,我们为产品开发中的所有角色添加了全面的安全教育,安全风险评估方法(威胁建模),安全编码指南,一整套安全测试工具[7],central安全验证[8],然后才能释放代码和安全响应[5]。在不断发展、完善和改进我们的安全SDL的同时,开放式Web应用程序安全项目(OWASP)[9]、卓越代码软件保障论坛(SAFECode)[10]以及其他我们纳入和贡献的有用外部资源。
2011年,ISO/IEC 27034-1[4]作为一项国际标准,将安全风险管理应用于应用软件和应用程序安全管理过程,作为非常成功的ISO/IEC 27000[2]系列信息安全管理标准的一部分。与我在SAP的团队一道,我们非常感兴趣地研究并关注了它,我认为它仍然是一个很好的文档,介绍了应用程序安全控制(ASC)、ASC库的概念以及不同信任级别的概念,组织必须彻底而透明地思考、定义,在为过程架构师提供一个优秀的概念蓝图和参考的同时,ISO/iec27034-1引入的框架和概念仍然是高度人工的,西安大数据,很难映射到日常实践中,淘客基地,然而这也是我们痛苦地学习到的。对于评估流程成熟度和进一步识别SAP安全SDL中的差距和改进潜力,它没有起到任何帮助,一站式建站,因为它遗漏了构成当今最先进技术的具体实际控制的描述和列表。
然后我看到了NIST白皮书(草稿),"通过采用安全软件开发框架降低软件漏洞风险"[0]于今年6月发布。由于SAP已经将其安全操作和流程与NIST先前发布的"NIST改善关键基础设施网络安全框架"[2]保持一致,我很想看看这个新文档是否对安全软件开发(我的专业)更具体,我总是发现另一个NIST文档很好,但不够具体。我迫不及待地接受挑战,根据这个新的参考来衡量我们的SAP Secure SDL,所以我跳了起来。在下一节读我的发现。
我越读草稿,印象就越深刻。我认为,这份文件可以成为企业评估其软件供应过程中应用的安全控制的完整性、质量和成熟度的真实参考和基础。与[2]类似,作者首先提出了一组安全软件开发的实践,从而突出了推荐操作的不同领域,并为解决总体挑战提供了一个有用的结构。在这些小组中列出和描述的所有实践都有一个明确的编号和标识,它们属于哪一组活动,这有助于讨论它们的目的和目标:
PO:准备组织PS:保护软件PW:生产安全可靠的软件RV:回应漏洞报告
我忍不住,立即开始编辑一个表格,将列出的做法与我们在SAP的做法进行比较。如果你对更多细节感兴趣的话,你可以在这个博客的末尾找到一个简短的版本作为参考。但细读会让这本书读得很长。所以,让我总结一下我的主要发现。
准备组织
从一个很好的话题开始。如果您的组织没有准备好在日常软件开发和供应过程中理解、生活和操作安全性,那么许多良好的意图、精力和投资将以痛苦的方式流失,失败是有保证的。NIST草案文件提到了要求的基本要素:
要求(PO.1)必须清楚、透明地记录、维护、传达,并使属于开发团队的每个人都可以访问。在SAP,我们通过SAP产品标准安全、产品和场景级威胁建模来实现这一点。为了开发安全的软件,一个组织需要明确组织中的角色(PO.2),定义每个角色的职责,教育和授权。在SAP,除了为常规的开发人员教育和管理职责增加安全性之外,我们还在全球工作目录中引入了专门的支持角色,如开发人员专家安全性、开发架构师安全性和质量专家安全性。获取、部署、持续评估和更新自动化的工具链(PO.3)以支持安全的应用程序开发,对于处理数百万行代码的安全性来说是必不可少的。在SAP,我们每天和定期使用多种工具来帮助验证代码的安全状态,包括静态应用程序安全测试(SAST)和动态应用程序安全测试(DAST)技术[7],以及交互式安全测试工具。将这些工具集成到用于持续集成和交付(CI/CD)的自动化管道中是关键,例如在云业务中。此外,一个安全的软件开发生命周期必须包括明确定义的有意义的安全检查(PO.4)才能在实践中有效。从左到右,比如说,在敏捷模式下的每一个sprint都会发生一些事情,有威胁建模和安全体系结构,还有SAP的设计审查,sprint审查的是安全测试结果,自动化管道中的自动化安全阈值和在向客户实际发布代码之前由中央专家组进行的强制性安全验证[8]。
保护软件
NIST文件中的下一组实践:您希望确定哪些内容准确地发送给客户进行内部安装,进入移动应用商店,或作为云服务提供。
