安全发展作为一个循环
成熟的安全开发不是从购买扫描仪开始,而是从生命周期模型开始:需求、架构、威胁建模、开发、代码审查、SAST/SCA、测试、DAST、基础设施测试、发布、监控和事件分析。每个阶段都有自己的控制、所有者和验收标准。
Plan
要求和风险
系统分类、数据、角色、威胁模型、监管要求和验收标准。
Build
发展
管道中的安全编码、审查、机密、依赖项、容器、IaC 和自动检查。
Test
考试
SAST、SCA、DAST、API 安全、访问权限测试、负载和缺陷处理。
Run
运营
监控、VM、修补、事件、经验教训和开发规则的改进。
如何在不超载的情况下启动
关键系统
选择 3-5 个存在个人数据、金钱、客户端访问、API 或因停机而造成严重损坏的系统。
最小管道
仅针对真正严重的缺陷添加 SCA、机密、基本 SAST 和阻止规则。
建筑解决方案
对关键数据流进行威胁建模通常比不加区别地进行批量扫描提供更多价值。
指标
查看平均修复时间、缺陷可重复性、存储库覆盖率和发布后缺陷。
让我们讨论一下您的环境
描述任务、当前系统、约束和预期结果。我们将提供实用的第一步:诊断、试点、审计、路线图或项目团队。
