公司

首頁 > 關于我們 > 安恒動態(tài) > 2022 > 正文

安全向左，開發(fā)向右？論二者矛盾與解決之道

閱讀量：次 文章來源：安恒信息

安恒信息安全咨詢講武堂

講武堂，帶兵者研究武學之所。今設“安恒信息安全咨詢講武堂”，與圈內(nèi)人士共同聚焦、分享安全咨詢領域的心得體會與實踐經(jīng)驗。

本期聚焦“開發(fā)人員與安全人員的矛盾與解決“，為行業(yè)相關人員提供解決矛盾的建議，歡迎大家文末留言探討。

前言?/Preface/

隨著應用安全防護與安全漏洞治理效率等要求的不斷提高，軟件供應鏈安全合規(guī)監(jiān)管力度的不斷加強，以安全左移為核心思想的安全開發(fā)方案在各行業(yè)不斷落地實踐，取得了良好的安全效果。與此同時，通過對大量行業(yè)企業(yè)進行調(diào)研分析，安全措施與開發(fā)活動、安全部門與開發(fā)測試部門之間的“矛盾”，依然是阻礙安全開發(fā)落地或持續(xù)推進的最大內(nèi)部障礙。

例如安全測試的人員吐槽：“這幫人研發(fā)啥腦回路能寫出這種漏洞”、“上次都說測過這個漏洞了，這次還有”。開發(fā)人員也吐槽安全：“這樣寫有什么風險，你又不能證明”。聽起來就像是安全向左，開發(fā)向右，各有各的難處，充滿矛盾。

“矛盾”的客觀分析

Objective Analysis of "Contradiction"

做事情的思路完全不同

安全角度關注的重點在于過程——過程的安全性。所以在從事安全工作的過程中，需要通過分析去開展工作，比如業(yè)務是怎么運行的、調(diào)用了哪些組件、訪問了哪些組件、身份認證是怎么實現(xiàn)的等。甚至很多時候需要結(jié)合自身的經(jīng)驗，去推測研發(fā)人員是怎么實現(xiàn)，去構造測試方式以及測試用例，自然有了“這研發(fā)啥腦回路能寫出這種漏洞”的感慨。

開發(fā)工作更多地關注的是結(jié)果的正確性，在結(jié)果的正確性上考慮其他因素。例如連續(xù)性、健壯性、實現(xiàn)效率。開發(fā)人員更傾向于選擇已驗證的技術去達到正確的結(jié)果。只不過已驗證并不是安全的已驗證，而是結(jié)果已驗證。例如搜索引擎里其他人是怎么解決的、技術文檔里是如何解決。但是很多問題都沒有標準答案，需要通過一個個小問題的答案的組合，所以開發(fā)人員往往是通過組裝的方式，不會去關注中間過程是如何實現(xiàn)的。

知識體系儲備不一樣

安全人員的知識體系的儲備是從安全的角度出發(fā)的，以XXX漏洞原理、XXX威脅、風險為主，圍繞這些相關的案例和實踐經(jīng)驗進行學習和成長。而開發(fā)人員的知識體系儲備則是從語言規(guī)則、工具包、設計模式、算法這些內(nèi)容為主，可以說是完全不相同的維度。

苛求開發(fā)人員能像安全人員一樣，避開所有漏洞是不太可能的，甚至可以說安全不是開發(fā)人員的第一優(yōu)先級，而安全人員往往對于研發(fā)的技術不太熟悉，很難給出能直接可供研發(fā)人員使用，達到安全目標的建議。

核心訴求與目標不一致

大多數(shù)情況下，安全人員不是開發(fā)多團隊協(xié)作里的一環(huán)，開發(fā)團隊確保的是應用系統(tǒng)的快速交付上線與迭代更新，而安全團隊需要確保待上線的系統(tǒng)是滿足監(jiān)管與安全要求的。跨部門協(xié)作，各自團隊與角色工作目標不一致，自然會有很多“矛盾”。

安全團隊認為開發(fā)不配合，給業(yè)務帶來巨大安全隱患，也造成后續(xù)不必要的安全投入；開發(fā)團隊認為安全就是來添麻煩的，既要又要還要。

從更高維度的企業(yè)角度來說，開發(fā)和安全并不是對立的兩個事情，不是要安全還是要開發(fā)的選擇題，安全、穩(wěn)定、可靠的應用系統(tǒng)支撐業(yè)務發(fā)展才是共同的目標。

“矛盾”的解決之道

The Solution to "Contradiction"

安全開發(fā)必然多團隊配合的工作，消除矛盾、確立共同目標才有協(xié)作的基礎。這就對安全團隊提出了更高的要求。

弱化安全的對抗屬性

我們其實在聊安全的時候都離不開風險這個概念，都聽過一句話“絕對的安全是不存在的，安全是相對的”， 絕對安全大家可能都知道，但是什么叫相對安全就是一個大大的問號。從開發(fā)人員角度，就會出現(xiàn)——“既然永遠有問題，那么還需要做安全嗎”的疑問，而安全人員也會陷入到需要一直一直找漏洞和風險的情況，甚至以數(shù)量作為KPI，這極大地強化了開發(fā)和安全之間的對抗，針對多個漏洞和風險進行挑戰(zhàn)和復議，難以推進協(xié)作，反而造成了大量內(nèi)耗。

弱化安全對抗的第一步是跳出提升漏洞數(shù)量的陷阱，其實安全和開發(fā)的出發(fā)點都是一樣的，希望應用系統(tǒng)的風險越來越小。從安全質(zhì)量的角度上來看，安全團隊的理想情況是測出的漏洞和風險是0個，而開發(fā)團隊的理想情況是編寫的漏洞和風險是0個。

但是由于風險屬性的存在，0個是很難存在的情況，所以第二步是嘗試對相對安全的標準進行細化，圍繞這個相對安全的標準工作就能更加容易得達到“0個”得目標，無論安全還是開發(fā)都可以圍繞標準部署工作，從某種意義上消除摩擦，避免后續(xù)在具體工作上的矛盾。

強化對開發(fā)團隊的賦能

賦能不僅僅只是一些培訓，更多的需要建立起相互理解和認識，但是由于過于龐大的開發(fā)團隊，往往需要安全團隊優(yōu)先行動起來，從開發(fā)人員一貫思路上提供助力。

安全團隊幫助研發(fā)更精準的

分析安全需求以及質(zhì)量目標

安全團隊構建起安全需求以及威脅的知識庫，通過威脅建模工具的方式（例如安恒安全需求分析工具）幫助開發(fā)從系統(tǒng)、業(yè)務等角度識別各個安全需求，細化開發(fā)任務，落地安全質(zhì)量標準。

安全團隊提供已驗證的安全工具

協(xié)助開發(fā)人員安全地組裝應用

安全團隊與開發(fā)團隊一起設計一些常用的安全工具方法，例如安恒信息的安全開發(fā)SDK，開發(fā)人員不需要再用考慮如何組件的設計是否安全，重新回到如何組裝這些組件、工具去解決問題的角度上。

但是這些并不代表著開發(fā)團隊不需要行動起來，所有這些措施里都包含了大量的安全知識和經(jīng)驗，如何掌握和使用這些信息，從來不是一件輕易的事情，哪怕它們已經(jīng)做得非常清晰、完善、通俗易懂。

開發(fā)和安全需要互相認識、理解，才能真正的協(xié)作。

強化協(xié)作與持續(xù)優(yōu)化

這里不僅僅是說某個開發(fā)流程的協(xié)作，而是思路上的轉(zhuǎn)變，圍繞思路的轉(zhuǎn)變?nèi)ピO計、調(diào)整協(xié)作流程。

可能有的人會問，你說的轉(zhuǎn)變是安全團隊既管殺也管埋嗎？做到漏洞的檢測發(fā)現(xiàn)到修復一條龍。

確實，這是轉(zhuǎn)變的一部分，但是除了這個意外很重要的一點是開發(fā)與安全團隊現(xiàn)在是以系統(tǒng)的安全質(zhì)量為共同的目標，那么就不能是以問題導向為唯一目標了，問題、bug、安全漏洞的修復不是閉環(huán)的終點，需要將發(fā)現(xiàn)的問題推回到整個體系中，優(yōu)化流程，發(fā)現(xiàn)知識體系的殘缺、工具規(guī)則的優(yōu)化等等，通過PDCA中A去實現(xiàn)閉環(huán)。

安恒安全開發(fā)一體化平臺概要

開發(fā)與安全的理想狀態(tài)，大概就是求同存異，和而不同。找到共同點，用各自的方式去完成一個共同的目標。

在安全開發(fā)領域，安恒信息經(jīng)過多年研發(fā)的安全開發(fā)一體化平臺，能夠支撐企業(yè)開發(fā)全生命周期的線上流程化的同時，在各安全介入點無縫對接安恒信息安全開發(fā)工具鏈，確保開發(fā)、安全的協(xié)同性，確保安全與業(yè)務目標的一致性。同時結(jié)合安全服務能力，能夠為各行業(yè)客戶提高安全開發(fā)全棧落地應用方案。

關閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎設施>

態(tài)勢感知>

云安全>

基礎安全>

終端安全>

商用密碼>

軟件供應鏈安全>

網(wǎng)絡空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>