SDL安全开发生命周期框架

1、SDL安全开发生命周期1/19 安全开发生命周期 (SDL) 是侧重于软件开发安全确保过程 ，SDL 致力于降低设计，开发中软件漏洞数量和严重性问题。经过预防、检测和监控办法相结合方式，从而降低应用安全开发和维护总成本，确保系统安全性。 培训需求设计开发测试发布上线安全技术安全意识安全规范安全需求质量门和BUG栏安全风险安全设计规范攻击面分析威胁建模安全开发工具安全开发规范安全开发最正确实践安全API代码审计渗透测试压力测试应急方案集成环境安全加固运维规范应急响应安全巡检漏洞扫描安全监控安全布署方案2/19培训需求设计开发测试发布上线控制目标 开发团体全部组员都必须接收适当安全培训，了解安全基

2、础知识以及安全和隐私漏洞方面最新趋势，树立安全风险意识。培训对象包含开发人员、测试人员、项目经理、产品经理等。控制办法 (1)制订强制性最低培训周期；设定最低培训门槛（比如：在项目开始之前100%项目开发员工都必须接收培训）； (2)安全不是一成不变，应对开发人员进行连续不停培训； (3)培训内容应包含基本安全知识培训（针对开发，测试人员）和高级安全知识培训（针对产品经理，关键开发人员），课程包含安全技术、安全意识及安全规范，形式包含内部培训和外部机构、教授培训（如OWASP安全开发生命周期（SDL）培训）； (4)培训结束后应进行考评，考评成绩应记入人员绩效考评成绩；输入 培训教材 培训考卷

3、输出 培训统计表 考评成绩统计表审核指标 项目开发人员参加培训率、考试合格率100% （六个月内培训、考评有效） 3/19基本安全培训内容安全设计减小攻击面深度防御最小权限原则安全默认设置业务安全用户登陆/注册业务流转交易数据篡改安全编码缓冲区溢出XSS漏洞跨站点脚本SQL 注入文件上传硬编码HASP加/解密算法安全HASP加/解密算法使用隐私保护隐私数据的类型风险评估隐私设计最佳实践4/19高级培训高级安全设计和体系结构可信用户界面设计安全漏洞细节实施自定义威胁缓解高级安全培训内容5/19培训需求设计开发测试发布上线控制目标 在项目执行之初就要考虑安全问题，确定应用程序安全方面需求控制办法

4、(1)进行需求开发活动时，项目人员应考虑该系统业务特点，识别系统安全需求，并文档化形成安全基线 ，通常包含用户操作日志保留、审计和查询、用户帐户管理、帐户资源配额、消 息内容对管理人员是否可见、帐号和密码保留形式（明文或密文）等；(2)建立每个开发阶段质量门（如必须在check in 代码之前会审并修复全部编译器警告），确定最低BUG标准（如不允许有SQL注入、XSS 、文件上传 、CSRF 、Open Redirect (url跳转) ）；(3)还应进行风险评定，明确针对业务上可能面临较大业务安全风险（如资金损失、交易事务一致性被破坏）；(4)需求分析或需求规格应和业务代表确认，确保项目组和

5、业务对需求了解保持一致.输入 应用程序安全需求表 质量门checklist 风险评定输出 XX应用程序安全需求表 XX应用系统质量门checklist XX应用系统安全风险列表相关工具 知识管理系统（Wiki） 工作进度管理系统 Bug跟踪管理系统（bug栏）6/19应用程序安全需求（基线） 7/19培训需求设计开发测试发布上线控制目标 将识别出信息系统安全需求落实到应用技术框架及结构设计中，并形成相关规范控制办法 (1) 制订安全设计规范，包含通用型安全设计规范和针对特定系统业务安全设计规范。规范内容通常包含加密技术使用、敏感数据文件长久备份以及恢复办法、数据库明文或加密存放等安全级别、评定

6、第三方软件许可等；(2)制订安全布署方案，包含网络环境、系统环境、中间件、数据库、安全防护办法、开放端口、第三方接口、软件版本等内容；(3)进行ASA(Attack Surface Analysis，受攻击面分析)，制订ASR(Attack Surface Reduction，受攻击面降低)办法(4)进行威胁分析，建立威胁模型，帮助了解系统中潜在安全威胁，明确风险并建立对应消减机制；输入 安全设计规范 安全布署方案（含安全配置基线） 威胁分析模型输出 XX系统安全设计规范 XX系统安全布署方案（含安全配置基线） XX系统威胁分析模型8/19需求9/19ASR(受攻击面降低)标准降低默认执行代码

7、量限制可访问到代码人员范围限定可访问到代码人员身份降低代码所需权限较高受攻击面较低受攻击面默认执行默认关闭打开网络连接关闭网络连接同时侦听UDP和TCP流量仅侦听TCP流量匿名访问判别用户访问弱ACLs强ACLs管理员访问普通用户访问因特网访问当地子网访问代码以管理员或root权限运行代码以Network Services、Local Services或自定义低权限账户运行统一缺省配置用户可选配置ActiveX控件.NET代码标识有脚本安全ActiveX控件未标识有脚本安全ActiveX控件非SiteLocked ActiveX控件SiteLocked ActiveX控件ASR(受攻击面降低)

8、办法10/19威胁模型信息资产安全漏洞安全威胁造成影响程度发生可能性应对办法（消减技术）存在利用消减办法11/19培训需求设计开发测试发布上线控制目标 确保安全设计规范中描述安全控制设计、方案及威胁消减标准在开发过程中得以落实执行控制办法 (1)充分了解并建立可靠安全开发工具库（包含语言、虚拟机、IDE环境、引用第三方工具包）；(2)制订安全开发最正确实践，指导开发人员进行安全编码；(3) 建立安全开发规范；(4) 建立常见安全漏洞、不安全函数、危险API列表；输入 安全开发工具清单 安全开发规范 安全开发最正确实践 安全开发培训输出 安全开发工具库 安全开发培训考卷 常见安全漏洞、不安全函数

9、、危险API列表(建立工具库不停积累)12/19危险API清单strcpy, strcpyA, strcpyW, wcscpy, _tcscpy, _mbscpy, StrCpy, StrCpyA, StrCpyW, lstrcpy, lstrcpyA, lstrcpyW, _tccpy, _mbccpystrcat, strcatA, strcatW, wcscat, _tcscat, _mbscat, StrCat, StrCatA, StrCatW, lstrcat, lstrcatA, lstrcatW, StrCatBuff, StrCatBuffA, StrCatBuffW, St

10、rCatChainW, _tccat, _mbccatstrncpy, wcsncpy, _tcsncpy, _mbsncpy, _mbsnbcpy, StrCpyN, StrCpyNA, StrCpyNW, StrNCpy, strcpynA, StrNCpyA, StrNCpyW, lstrcpyn, lstrcpynA, lstrcpynWstrncat, wcsncat, _tcsncat, _mbsncat, _mbsnbcat, StrCatN, StrCatNA, StrCatNW, StrNCat, StrNCatA, StrNCatW, lstrncat, lstrcatnA

11、, lstrcatnW, lstrcatnCharToOem, CharToOemA, CharToOemW, OemToChar, OemToCharA, OemToCharW, CharToOemBuffA, CharToOemBuffWalloca, _allocawnsprintf, wnsprintfA, wnsprintfW, sprintfW, sprintfA, wsprintf, wsprintfW, wsprintfA, sprintf, swprintf, _stprintf, _snwprintf, _snprintf, _sntprintf, wvsprintf, w

12、vsprintfA, wvsprintfW, vsprintf, _vstprintf, vswprintf, _vsnprintf, _vsnwprintf, _vsntprintf, wvnsprintf, wvnsprintfA, wvnsprintfWstrtok, _tcstok, wcstok, _mbstokmakepath, _tmakepath, _makepath, _wmakepath, _splitpath, _tsplitpath, _wsplitpathscanf, wscanf, _tscanf, sscanf, swscanf, _stscanf, snscan

13、f, snwscanf, _sntscanf_itoa, _itow, _i64toa, _i64tow, _ui64toa, _ui64tot, _ui64tow, _ultoa, _ultot, _ultowgets, _getts, _gettwsIsBadWritePtr, IsBadHugeWritePtr, IsBadReadPtr, IsBadHugeReadPtr, IsBadCodePtr, IsBadStringPtrstrlen, wcslen, _mbslen, _mbstrlen, StrLen, lstrlen13/19培训需求设计开发测试发布上线控制目标 评定安全

14、设计、威胁模型、攻击面消减是否到达了设计要求。应用程序经常会严重偏离在软件开发项目要求和设计阶段所制订功效和设计规范，所以，在应用程序完成编码后重新进行评定其是非常主要。控制办法 (1) 对应用程序进行白盒测试，经过对代码进行静态安全审计，发觉系统安全漏洞和风险；(2) 对应用程序进行黑盒测试， 经过模拟攻击渗透测试，发觉系统安全漏洞和风险；(3) 录制项目功效流程，遍历项目在威胁模型中包括到功效或流程，测试其输入输出数据在内存或其它场景下产生改变，发觉可能存在安全漏洞；(4)对应用程序进行性能压力测试，经过测试发觉系统性能瓶颈，验证是否到达设计指标， 发觉系统中可能被恶意用户利用业务RDS漏

15、洞；输入 安全测试方案输出 代码审计汇报 渗透测试汇报 压力测试汇报 安全整改方案相关工具 代码审计软件 渗透测试软件14/19培训需求设计开发测试发布上线控制目标 在项目正式上线前确认各方面安全要求已经满足，并经过正式评审能够公布控制办法 (1)制订安全应急响应预案，建立应急响应流程/处理列表；(2)对照“系统安全布署方案”对网络拓扑，网络设备，安全设备，操作系统，Web和中间件服务器，数据库，其它第三方服务应用等进行安全配置，以到达方案中要求；(3)建立上线审核机制，进行最终安全评审，在软件或项目公布之前依据质量门、设计规范进行评审确定是否正式公布；输入 通用应急响应预案 安全配置基线 上

16、线评审制度、流程、质量门要求输出 应急响应计划 运维规范（包含上线审核制度） 相关工具 安全配置基线15/19上线评审 checklist16/19培训需求设计开发测试发布上线控制目标 确定项目上线后安全运维，确保系统安全连续性控制办法 (1)开展安全监控运维，从各层次监控应用系统安全情况；(2)开展安全巡检运维，定时检验系统各层次（OS、DB、中间件、网络等）安全配置改变情况，并依据安全基线给予修正；(3)开展安全扫描运维，定时对系统进行OS、应用进行漏洞扫描和渗透测试，发觉最新漏洞并给予修正；(4)建立应急事件响应程序，对系统发生安全事件给予响应处置；输入 安全巡检手册 安全漏洞管理制度输

17、出 应急响应流程 安全运维规范（包含扫描、巡检、监控制度） 相关工具 安全配置基线17/19京东实施SDL后认识：POP团体在实施SDL过程中完成了SDL七个阶段11个活动。实施前与实施后安全体验指数从之前55分提升到实施后90分。在项目中自行发觉了46个漏洞，并利用掌握安全测试技术，自行检验出362个隐藏在现有系统中安全漏洞，开发了2类自动化检测脚本，定义了一份POP团体开发测试标准，自行组建安全武器库，使全部项目都执行相同安全测试标准。经过实施SDL，不但确保了项目标安全，也帮助POP团体全部组员提升了安全意识和安全能力。在分享SDL心得体会时讲到：1、经过SDL实施，安全团体在项目早期阶

18、段介入，能够提升系统安全性。2、使用安全组件列表，能够在开发阶段就躲避组件漏洞风险。3、SDL培训对于普及安全意识、增加安全开发和测试能力很主要。18/19京东SDL与业内执行SDL最大区分在于体验模式不一样：第一，安全体检后自主选择改进目标。经过对各部门所用CI系统、项目管理系统、上线系统、漏洞管理系统、人资系统等系统分析，得出各团体执行SDL前安全体检值，业务部门自行依据本身发展现实状况，自行选择希望到达安全体检值。有了目标之后，信息安全部有针对性为业务部门导入所需SDL阶段和活动，并指导业务部门怎样提升。第二、宽进严出。SDL是一个安全质量确保过程，信息安全部在每一个阶段都制订了考评标准，比如，在安全测试阶段，信息安全部为部门提供对应培训，每个团体完成培训后必须定时反馈结果。没有完成考评部门不予经过，没有经过考评部门需要重做本阶段活动，直至指标到达要求。SDL成熟后，安全部出费用，经过JSRC大军检验每个事业部安全能力。第三、“授人以渔”而非“授人以鱼”。经过SDL推行，将信息安全部能力输出给各业务部门。POP团体经过执行SDL，在部门内部建立了测试标准化和自动化工具，确保部门内全部项目都统一执行这个标准