歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

SDL思考之評價考核體系

來源:本站整理 作者:佚名 時間:2020-01-31 TAG: 我要投稿

一個概念或者一個事情如果有一個標準來判斷好與不好,好的話那么是好到什么程度。有了這個標準可以知道當前的狀態,如何往更好的方向努力。在學校期間的考試分數是一個學生學習好壞的評判標準。
在注重數字化運營時代,凡事都在追求量化數字化,有了可量化的結果,能夠明白當前的狀態,同時明白哪些需要可以繼續提升,哪些需要部分填補空白。
因此一個好的評價體系就顯得很重要,從哪些維度去進行評價,各個維度所占的權重。一旦設定好了,大家就會根據所要求的項去發力做好。拿高中教育來舉例,一切唯分數論,那么學生父母也就步調一致,能否提高分數是要不要做一件事的評判標準。導致體育課,美術課,音樂課老是被占用。為什么?因為中考高考不考這些。
一個好的評價體系是為了把一件事物往長期健康的方向引導。
SDL目標就是為了減少應用系統的風險,其中一個很重要的衡量標準是漏洞數。聽說有些企業如果被白帽子發現高危漏洞,影響開發團隊和安全團隊的KPI。
不同對象有不同的考核評價角度,我們主要談談安全測試人員以及公司兩個部分。
安全SDL實施人員
安全人員在SDL中考核除了外暴漏洞數、漏洞漏測率、漏洞修復率,還包括安全培訓、規范沉淀、自動化實現等。
外暴漏洞數、漏洞漏測率、漏洞修復率這些指標都是圍繞減少風險這個目標為導向的。每年都會根據所負責的系統的情況制定一個合理KPI數值。當所負責的系統被白帽子暴漏洞的時候內心就是一句“我靠”,又被暴問題了,同事之間就會開玩笑說今年的KPI完蛋了。
圍繞漏洞這個指標大家都有,這個是結果。而規范沉淀就是一個把過程更好實現的一個方式。需求評審關注哪些、設計評審關注哪些、有哪些成熟的設計方案、安全編碼注意哪些、安全測試測哪些,將這日常中的點點滴滴沉淀下來,無論是形成規范、checklist、基線還是通用方案。這些可以使工作規范化,避免遺漏,同時可以在團隊內共享,大家共同完善,形成知識庫,隨時查閱。也可以讓新人快速上手工作。因此沉淀這塊也基本會作為KPI之一去完成。
一項工作的發展大體遵循從混亂、到有序規范并漸漸過渡到自動化的過程。開始的時候是摸索階段,需要花費很多的時間,后面慢慢了解了套路,每次按照套路來,很快就能完成工作。同樣機械的動作重復多次之后,就會想著能否自動化。工具、腳本就是自動化的一種實現。自動化可以節省人力,大大提高效率。SDL中哪些可以自動化,最容易想到的是安全測試,DAST、IAST這兩種方式已經比較成熟了,商業開源可根據實際情況選擇。代碼掃描也能實現自動化,還可以完美嵌入公司的開發流程中,可以做到在代碼上傳后自動掃描。這些都是安全SDL實施人員可以納入KPI中的。
公司
整個SDL做得好不好,還得從整個體系去看。目前我們團隊嘗試做了一個初期的SDL成熟度模型,借鑒了其他安全標準的制定,比如BSI、SAMM,劃分了五個階段
第一階段:不可預測、無反應性
第二階段:反應緩慢、能力有限
第三階段:可重復、主動、模板化
第四階段:可測量、有目的性
第五階段:不斷優化、持續改進
很多事物的成熟度都可以劃分為這幾個階段,比較通用的。需要考慮的是每個階段每一項內容需要寫到什么程度。比如我們考察了涉及到安全部分占領導開發團隊KPI多少,安全開發的深入流程深度,工具化平臺化程度、公司考核、規范制度、漏洞閉環程度、人員配備等,通過這一系列的維度來判斷SDL處于什么狀態,后續可以往哪些方面提高。
目前SDL這塊好多大公司都在實踐,大家各自都有各自相關的規范、方法論、評價體系,沒有優劣,只有是否合適,根據開發人員安全人員比、業務系統大小、安全預算、企業發展等,打造適合自己公司的SDL,但是規范、方法論、工具仍然是可借鑒或者部分可借鑒的。
 

【聲明】:黑吧安全網(http://www.650547.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        安徽快3自由的百科 广西十一选五走势图一定牛 福彩上海时时乐开奖结果 山东11选5遗漏 湖北11选5前三直选走势图 广东11选五最准计划网 新疆体彩11选5技巧 江西十一选五测下期出号 极速赛车稳赚免费计划 快乐双彩走势图 2019年一波中特期期公开