SDL思考之评价考核体系

一个概念或者一个事情如果有一个标准来判断好与不好,好的话那么是好到什么程度。有了这个标准可以知道当前的状态,如何往更好的方向努力。在学校期间的考试分数是一个学生学习好坏的评判标准。

在注重数字化运营时代,凡事都在追求量化数字化,有了可量化的结果,能够明白当前的状态,同时明白哪些需要可以继续提升,哪些需要部分填补空白。

因此一个好的评价体系就显得很重要,从哪些维度去进行评价,各个维度所占的权重。一旦设定好了,大家就会根据所要求的项去发力做好。拿高中教育来举例,一切唯分数论,那么学生父母也就步调一致,能否提高分数是要不要做一件事的评判标准。导致体育课,美术课,音乐课老是被占用。为什么?因为中考高考不考这些。

一个好的评价体系是为了把一件事物往长期健康的方向引导。

SDL目标就是为了减少应用系统的风险,其中一个很重要的衡量标准是漏洞数。听说有些企业如果被白帽子发现高危漏洞,影响开发团队和安全团队的KPI。

不同对象有不同的考核评价角度,我们主要谈谈安全测试人员以及公司两个部分。

安全SDL实施人员

安全人员在SDL中考核除了外暴漏洞数、漏洞漏测率、漏洞修复率,还包括安全培训、规范沉淀、自动化实现等。

外暴漏洞数、漏洞漏测率、漏洞修复率这些指标都是围绕减少风险这个目标为导向的。每年都会根据所负责的系统的情况制定一个合理KPI数值。当所负责的系统被白帽子暴漏洞的时候内心就是一句“我靠”,又被暴问题了,同事之间就会开玩笑说今年的KPI完蛋了。

围绕漏洞这个指标大家都有,这个是结果。而规范沉淀就是一个把过程更好实现的一个方式。需求评审关注哪些、设计评审关注哪些、有哪些成熟的设计方案、安全编码注意哪些、安全测试测哪些,将这日常中的点点滴滴沉淀下来,无论是形成规范、checklist、基线还是通用方案。这些可以使工作规范化,避免遗漏,同时可以在团队内共享,大家共同完善,形成知识库,随时查阅。也可以让新人快速上手工作。因此沉淀这块也基本会作为KPI之一去完成。

一项工作的发展大体遵循从混乱、到有序规范并渐渐过渡到自动化的过程。开始的时候是摸索阶段,需要花费很多的时间,后面慢慢了解了套路,每次按照套路来,很快就能完成工作。同样机械的动作重复多次之后,就会想着能否自动化。工具、脚本就是自动化的一种实现。自动化可以节省人力,大大提高效率。SDL中哪些可以自动化,最容易想到的是安全测试,DAST、IAST这两种方式已经比较成熟了,商业开源可根据实际情况选择。代码扫描也能实现自动化,还可以完美嵌入公司的开发流程中,可以做到在代码上传后自动扫描。这些都是安全SDL实施人员可以纳入KPI中的。

公司

整个SDL做得好不好,还得从整个体系去看。目前我们团队尝试做了一个初期的SDL成熟度模型,借鉴了其他安全标准的制定,比如BSI、SAMM,划分了五个阶段

第一阶段:不可预测、无反应性

第二阶段:反应缓慢、能力有限

第三阶段:可重复、主动、模板化

第四阶段:可测量、有目的性

第五阶段:不断优化、持续改进

很多事物的成熟度都可以划分为这几个阶段,比较通用的。需要考虑的是每个阶段每一项内容需要写到什么程度。比如我们考察了涉及到安全部分占领导开发团队KPI多少,安全开发的深入流程深度,工具化平台化程度、公司考核、规范制度、漏洞闭环程度、人员配备等,通过这一系列的维度来判断SDL处于什么状态,后续可以往哪些方面提高。

目前SDL这块好多大公司都在实践,大家各自都有各自相关的规范、方法论、评价体系,没有优劣,只有是否合适,根据开发人员安全人员比、业务系统大小、安全预算、企业发展等,打造适合自己公司的SDL,但是规范、方法论、工具仍然是可借鉴或者部分可借鉴的。

*本文原创作者:page100,本文属于FreeBuf原创奖励计划,未经许可禁止转载