原标题:SDL考虑之点评查核体系
一个概念或许一个作业假如有一个标准来判别好与欠好,好的话那么是好到什么程度。有了这个标准能够知道当时的状况,怎么往更好的方向尽力。在校园期间的考试分数是一个学生学习好坏的评判标准。
在重视数字化运营年代,凡事都在寻求量化数字化,有了可量化的成果,能够理解当时的状况,一起理解哪些需求能够继续进步,哪些需求部分填补空白。
因而一个好的点评体系就显得很重要,从哪些维度去进行点评,各个维度所占的权重。一旦设定好了,咱们就会依据所要求的项去发力做好。拿高中教育来举例,全部唯分数论,那么学生爸爸妈妈也就步调一致,能否进步分数是要不要做一件事的评判标准。导致体育课,美术课,音乐课老是被占用。为什么?由于中考高考不考这些。
一个好的点评体系是为了把一件事物往长时刻健康的方向引导。
SDL方针就为了削减使用体系的危险,其间一个很重要的衡量标准是缝隙数。传闻有些企业假如被白帽子发现高危缝隙,影响开发团队和安全团队的KPI。
不同方针有不同的查核点评视点,咱们首要谈谈安全测验人员以及公司两个部分。
安全SDL施行人员
安全人员在SDL中查核除了外暴缝隙数、缝隙漏测率、缝隙修正率,还包含安全训练、标准沉积、自动化完结等。
外暴缝隙数、缝隙漏测率、缝隙修正率这些方针都是环绕削减危险这个方针为导向的。每年都会依据所担任的体系的状况拟定一个合理KPI数值。当所担任的体系被白帽子暴缝隙的时分心里便是一句“我靠”,又被暴问题了,搭档之间就会恶作剧说本年的KPI完蛋了。
环绕缝隙这个方针咱们都有,这个是成果。而标准沉积便是一个把进程更好完结的一个方法。需求评定重视哪些、规划评定重视哪些、有哪些老练的规划的详细方案、安全编码留意些什么、安全测验测哪些,将这日常中的点点滴滴沉积下来,无论是构成标准、checklist、基线仍是通用方案。这些能够使作业标准化,防止遗失,一起能够在团队内同享,咱们一起完善,构成知识库,随时查阅。也能够让新人快速上手作业。因而沉积这块也基本会作为KPI之一去完结。
一项作业的开展大体遵从从紊乱、到有序标准并逐渐过渡到自动化的进程。开端的时分是探索阶段,需求花费许多的时刻,后边渐渐了解了套路,每次依照套路来,很快就能完结作业。相同机械的动作重复屡次之后,就会想着能否自动化。东西、脚本便是自动化的一种完结。自动化能够节约人力,大幅度的进步功率。SDL中哪些能够自动化,最简单想到的是安全测验,DAST、IAST这两种方法现已比较老练了,商业开源可依据实在的状况挑选。代码扫描也能完结自动化,还能够完美嵌入公司的开发流程中,能做到在代码上传后自动扫描。这些都是安全SDL施行人员能够归入KPI中的。
公司
整个SDL做得好欠好,还得从整个体系去看。现在咱们团队测验做了一个初期的SDL老练度模型,学习了其他安全标准的拟定,比方BSI、SAMM,划分了五个阶段
第一阶段:不行猜测、无反响性
第二阶段:反响缓慢、才能有限
第三阶段:可重复、自动、模板化
第四阶段:可测量、有目的性
第五阶段:不断优化、继续改善
许多事物的老练度都能够划分为这几个阶段,比较通用的。需求细心考虑的是每个阶段每一项内容需求写到什么程度。比方咱们调查了涉及到安全部分占领导开发团队KPI多少,安全开发的深化流程深度,东西化渠道化程度、公司查核、标准准则、缝隙闭环程度、人员配备等,经过这一系列的维度来判别SDL处于什么状况,后续能够往哪几个方面进步。
现在SDL这块很多大公司都在实践,咱们各自都有各自相关的标准、方法论、点评体系,没有好坏,只要是否适宜,依据开发人员安全人员比、事务体系巨细、安全预算、企业开展等,打造对自己最适宜公司的SDL,可是标准、方法论、东西仍然是可学习或许部分可学习的。
*本文原创作者:page100,本文归于FreeBuf原创奖赏方案,未经许可制止转载
责任编辑: