令狐冲的SDL安全开发周期引进手记.PDF

令狐冲的SDL （安全开发周期）引进手记 【事件背景】 话说令狐冲所在的华山剑派的信息技术部，最近又出事了！ 原来，他所在的开发团队发布的一款名为“华山剑谱”的手机App 被人发现含有木马， 经过了解，原因是开发工具不是官方正版的，而是从网上下载了一个被植入木马的 Xcode 修改版。这谁能想到啊！ 而就在前不久，“华山剑谱文化推广”网站也被入侵了好几次，内部电子资料被黑客悉 数拿走，甚至连来网站购买纪念品的全部用户隐私资料也泄露了，这些资料包括姓名、手机 号、地址等，如果被用于诈骗，那后果严重去了。 老大岳不群很生气，责成令狐冲想办法，不能再出事了！！！ 能怎么办？ 咱们华山派可不像少X 派那么有钱，没办法花几百万去买个咨询服务帮忙规划一下，再 花上几千万购买他们建议的设备、软件，还有每年的维护费也得几百万呢。招聘几个安全专 家？令狐冲打算算一下可能需要多少钱，等等！老大会批安全预算？还是算了吧。令狐冲本 想去找岳不群聊一下钱的问题，可按照对老大一贯的了解，又止步了，他没去都能想到答案： 你们自己想办法搞定！因为前年购置办公设备的费用也是砍了又砍，最后购买的低配电脑， 现在都卡成翔了！ 没有专业的安全人员帮忙把关，只能自己学习摸索，照着开发教程做的开发，后来发现 坑太多了，每发生一次入侵事件，就能发现一个或几个坑 （不安全的编码），后面继续开发 的时候，就提醒自己记得绕过这些坑。有时候遗忘了，这些坑还没有排查，新版本已经发布 出去了。不断的有一些新的坑被发现，或者是老的坑没有检查又被人挖出来，所以，网站还 是经常被黑客光顾。 【寻找解决方案】 好在混迹江湖这么多年，朋友不少，其中不乏一些安全圈的，有的供职于知名互联网企 业，也有的专职安全服务，就打算了解一下他们是怎么做的。一通电话下来，总算摸清了一 些门道：  小公司基本没有自己的安全人员，安全方面基本不考虑，漏洞只能发现一个解决一个， 业务上都忙不过来，哪里会关注安全呢，跟咱们自己的情况很像。  中等规模的公司有自己的安全人员帮忙把关，有一些基本的规范和不是很完善的流程， 即使被发现漏洞，也基本能够得到及时处理。  大公司都有自己的安全团队和一套体系化的方法论、IT 系统和流程来支撑，有安全内控 管理体系，有流程化的作业方式，有人负责管理策略、有人负责技术标准、有人负责流 程、有人负责评审、还有人负责实施，分工协作，各司其职。 看来，中小公司的做法基本没有什么参考价值了。 问了大公司的朋友，我们能否效仿？ 得到的回答是，你这规模太小，我们光维持这套流程体系的正常运转就有好几百人呢， 而且所用到的系统还是公司自己开发的，公司有版权，这个是不能给你的；不过，你可以看 看外面的安全服务，有些做的还不错。 安全服务是个什么鬼？经过一番了解，有一些专门对外提供安全服务的公司，有做渗透 测试为主的 （咨询为辅）、有做众包测试 （就是一群白帽子黑客帮你测试）的，目前流行的 是众包测试。令狐冲心动了，经熟人推荐，找到一家众包测试公司，并找老大申请到少量预 算，体验了一番，结果还真的很给力，白帽子帮他找到了几十个高危漏洞并给出了改进建议。 看到这些报告，令狐冲安排信息技术组的几个人，按照建议 （过滤输入等），很快把这些漏 洞中的大部分堵上了。入侵事件目前看来是消停了。 过了一个月，又有新版本上线，上线之后，你猜怎么着？ 没错，又被入侵了！经人指点，这次黑客使用的还是老漏洞，只不过，手法稍微变化了 一点。真是防不胜防啊！令狐冲感叹道。 后来，令狐冲慢慢了解到：  做好安全是一项系统化的工程，就算是业界知名的安全产品或安全解决方案，也都是只 能解决某些针对性的问题；  没有任何一款产品能够解决目前面临的所有安全问题，没有一劳永逸的解决方案；  大公司都有一套自我完善的安全体系，攻击方式层出不穷，应对策略也应逐步适应、随 机应变！  令狐冲武功再高，也斗不过一支军队！靠个人英雄的时代已经过去了，需要逐步建立一 套适应自己业务的安全体系，并不断的去完善它；  原来大公司里面用的那一套体系，名字叫做SDL，它是Security Development Cycle(安全 开发周期)的缩写，从源头开始进行安全控制，通过规范的项目管理过程和关键安全任 务的引入，确保开发设计及部署过程中遵从安全标准与规范，保障所交付产