文 | 深圳開源互聯(lián)網(wǎng)安全技術(shù)有限公司 羅欣然 菅志剛 徐瑞祝 萬振華
軟件安全開發(fā)已經(jīng)成為確保企業(yè)信息系統(tǒng)可靠性���、保護用戶隱私、滿足合規(guī)要求以及防御網(wǎng)絡(luò)攻擊的關(guān)鍵措施����。盡管軟件安全開發(fā)在網(wǎng)絡(luò)空間治理中的重要性已被廣泛認(rèn)可,但企業(yè)在實施過程中仍會面臨諸多困難�。其中,法律法規(guī)在軟件安全上的轉(zhuǎn)化����、團隊成員缺乏足夠的安全意識���、專業(yè)人才緊缺��,以及軟件安全需求的迅速變化等都是當(dāng)前企業(yè)軟件安全開發(fā)面臨的挑戰(zhàn)�����。為了有效應(yīng)對這些挑戰(zhàn)�����,企業(yè)必須設(shè)定全面的軟件安全開發(fā)體系建設(shè)的目標(biāo)�����,并從流程���、制度�、文化及工具等多方面著手���,綜合提升開發(fā)組織的安全意識和應(yīng)對能力���,從而確保信息系統(tǒng)的安全性和可靠性。
一���、國內(nèi)軟件安全開發(fā)體系建設(shè)需求的由來
根據(jù) IDC 數(shù)據(jù)顯示�����,“2021 年中國網(wǎng)絡(luò)安全相關(guān)支出為 122.0 億美元左右���。初步統(tǒng)計,2022年中國網(wǎng)絡(luò)安全相關(guān)支出為 137.6 億美元�;預(yù)計到 2026 年,中國網(wǎng)絡(luò)安全支出規(guī)模將達 318.0 億美元��。隨著軟件漏洞被黑客攻擊和數(shù)據(jù)泄露等威脅不斷加劇,企業(yè)和政府對軟件安全開發(fā)的需求愈發(fā)迫切�。
當(dāng)前,我國企業(yè)對于軟件安全開發(fā)的需求主要源于相關(guān)法律法規(guī)的要求�。《網(wǎng)絡(luò)安全法》和《個人信息保護法》中關(guān)于個人信息處理的規(guī)則,以及《數(shù)據(jù)安全法》中關(guān)于數(shù)據(jù)處理活動違規(guī)的法律責(zé)任�����,都是對軟件具體業(yè)務(wù)實現(xiàn)的明確要求�;《工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全管理辦法》中對數(shù)據(jù)分級分類以及對數(shù)據(jù)生命周期提出了明確的管理要求,并對數(shù)據(jù)的監(jiān)督管理和相關(guān)人員的職責(zé)做了定義�����;《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》中明確了對關(guān)鍵信息系統(tǒng)或軟件安全管理制度和流程的要求�,強調(diào)了風(fēng)險評估����、人員崗位、應(yīng)急預(yù)案���、培訓(xùn)等安全活動的建設(shè)�;《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》中對于個人信息保護的方法做出了具體指導(dǎo)��,軟件開發(fā)組織可對要求進行直接的安全需求轉(zhuǎn)化等等。
目前�����,市場上主要的軟件安全活動包括軟件滲透測試�����、代碼掃描和數(shù)據(jù)加密等技術(shù)手段�����。然而�,安全團隊往往難以評估這些工具的效果及軟件開發(fā)流程的可靠性。因此��,軟件開發(fā)團隊還需要加強開發(fā)流程和制度的安全建設(shè)��,確保軟件安全活動的有效實施����。當(dāng)前,業(yè)界廣泛認(rèn)可的軟件安全開發(fā)體系是 2004 年微軟公司提出的安全開發(fā)生命周期(SDL)模型��,它涵蓋并說明了流程建設(shè)�、需求分析��、設(shè)計�、編碼和測試�、部署和維護等各個階段的安全活動,并將安全性視為整個軟件開發(fā)過程的核心���。企業(yè)需要對員工進行全面的安全培訓(xùn)����,以確保達成預(yù)期的安全效果��。其目的是在軟件開發(fā)過程的每個環(huán)節(jié)中���,通過組織管理和安全活動前置的方式���,將安全理念及相關(guān)技術(shù)融入其中���。
二�����、軟件安全開發(fā)體系建設(shè)在不同行業(yè)的主要關(guān)注點
目前�����,軟件安全開發(fā)體系建設(shè)的概念在市場中的認(rèn)知還不是很成熟��,企業(yè)在實施軟件安全建設(shè)時�,往往會尋求專業(yè)咨詢公司的協(xié)助,企業(yè)對軟件安全的需求相對分散�,涉及軟件法規(guī)合規(guī)性、用戶隱私��、數(shù)據(jù)安全���、可用性��、供應(yīng)鏈安全等各方面���,而不同行業(yè)的信息系統(tǒng)部門在軟件安全開發(fā)上的關(guān)注點也各有側(cè)重。
在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域�,對于軟件安全的要求不僅包括強調(diào)身份驗證和訪問控制、數(shù)據(jù)傳輸加解密����、網(wǎng)絡(luò)安全、數(shù)據(jù)的保密性和完整性等�,還擴展到對軟件供應(yīng)鏈的審查監(jiān)管�、應(yīng)急響應(yīng)流程及恢復(fù)計劃以及行業(yè)相關(guān)標(biāo)準(zhǔn)遵循等����。新能源汽車行業(yè)的軟件系統(tǒng)涉及車輛控制系統(tǒng)、電池管理系統(tǒng)�����、自動駕駛輔助系統(tǒng)����、能量回收管理系統(tǒng)、車聯(lián)網(wǎng)系統(tǒng)以及車載信息娛樂系統(tǒng)等眾多復(fù)雜功能���。這些系統(tǒng)存在大量潛在的軟件漏洞�����,可能暴露包括車輛信息����、定位數(shù)據(jù)�����、駕駛習(xí)慣等在內(nèi)的個人敏感信息���,從而容易成為黑客攻擊的目標(biāo)��。金融證券行業(yè)對合規(guī)性有著極為嚴(yán)格的規(guī)定��,因此����,在該行業(yè)中構(gòu)建軟件安全開發(fā)體系時��,需要更加注重軟件系統(tǒng)的合規(guī)性����,這涉及軟件源代碼掃描、用戶隱私數(shù)據(jù)保護等方面����,以確保符合國家金融監(jiān)督管理總局等相關(guān)監(jiān)管機構(gòu)的要求。鑒于金融證券相關(guān)機構(gòu)通常處理大量的交易數(shù)據(jù)和客戶敏感信息����,需要充分識別并考慮到數(shù)據(jù)的機密性、完整性和可用性?�;ヂ?lián)網(wǎng)行業(yè)公司通常采用敏捷開發(fā)和 DevOps 實踐�����,以實現(xiàn)軟件開發(fā)過程更加靈活性��、高效性和安全性�,這就要求企業(yè)在快速迭代、頻繁發(fā)布和自動化測試的同時�����,能夠平衡市場業(yè)務(wù)需求的快速變化的與安全開發(fā)之間的關(guān)系�����,確保兩者的效率兼顧�。
總體而言,不同行業(yè)對軟件安全開發(fā)體系存在一定的個性化需求��。通常在進行軟件安全開發(fā)體系建設(shè)之前����,企業(yè)應(yīng)當(dāng)進行一次系統(tǒng)性的差距分析(Gap Analysis)�����,以全面客觀地評估比較企業(yè)軟件安全開發(fā)能力與行業(yè)最佳實踐的差距,從而為軟件開發(fā)組織提供參考��。差距分析不僅有助于發(fā)現(xiàn)存在的問題和薄弱環(huán)節(jié)����,還能夠為后續(xù)的軟件安全開發(fā)體系建設(shè)提供明確的方向和具體的改進方案,讓軟件開發(fā)組織能夠更明晰地了解哪些方面需要重點提升���。
三�、差距分析對于實施軟件安全開發(fā)體系建設(shè)的作用
企業(yè)常常采用差距分析來衡量自身在運營流程���、質(zhì)量標(biāo)準(zhǔn)和合規(guī)制度等方面與行業(yè)最佳實踐之間的差距����。特別是在軟件安全開發(fā)領(lǐng)域�,差距分析側(cè)重于分析企業(yè)的軟件安全開發(fā)體系能力與行業(yè)最佳實踐水平之間的差異。通過這種分析�����,企業(yè)能夠獲得清晰的發(fā)展指引和量化參考指標(biāo),從而有效地構(gòu)建和提升其軟件安全開發(fā)體系�����。
通常情況下�����,軟件開發(fā)組織在著手進行軟件安全開發(fā)治理活動之前��,需要先進行差距分析����。這一過程對構(gòu)建軟件安全開發(fā)體系至關(guān)重要,主要具有三個主要作用:一是使軟件安全開發(fā)體系建設(shè)計劃更具針對性�����。基于差距分析的結(jié)果�����,軟件開發(fā)組織可以根據(jù)當(dāng)前軟件安全投入的資源大小�,制定有合理針對性地改進計劃,以便軟件安全開發(fā)項目落地���。二是能夠幫助企業(yè)及時地糾正軟件安全開發(fā)過程改進的方向���。差距分析并不是一次性的活動���,而是需要在整個軟件生命周期中持續(xù)進行的���,不斷優(yōu)化其軟件開發(fā)實踐����,適應(yīng)新興威脅和技術(shù)挑戰(zhàn)����。三是可以幫助組織統(tǒng)一安全目標(biāo)和認(rèn)知。在進行差距分析的過程中�,開發(fā)團隊的軟件安全的認(rèn)知可以得到強化,每個團隊成員都能夠了解什么是軟件安全的最佳實踐����,從而達到提高開發(fā)團隊各成員安全意識的目的。同時����,差距分析的過程中可以促進開發(fā)團隊建立軟件安全開發(fā)的文化共識���,了解軟件安全開發(fā)體系建設(shè)的必要性。
差距分析之于軟件開發(fā)流程�����,就如同定期進行身體檢查對于維護個人健康一樣不可或缺����。我們不能等到發(fā)現(xiàn)軟件安全漏洞之后才亡羊補牢,而是需要經(jīng)常性地檢查當(dāng)前開發(fā)流程是否安全健康���,從日常管理中持續(xù)監(jiān)控和識別開發(fā)過程中發(fā)現(xiàn)可能存在的流程�、制度����、工具等方面的風(fēng)險。為了能系統(tǒng)地評估當(dāng)前軟件開發(fā)組織的安全活動與行業(yè)最佳實踐活動的差異���,有經(jīng)驗的開發(fā)組織通??梢栽诓罹喾治鰰r會使用一套評估模型作為參考���。
目前���,中國軟件行業(yè)比較熟知的兩個軟件安全能力成熟度模型是國際上的 BSIMM 和 SAMM��,前者專注于評估組織建立的整體軟件安全實踐���,后者專注于評估軟件過程質(zhì)量保障實踐。隨著信息系統(tǒng)國產(chǎn)化的趨勢���,我國也逐步建立起一系列國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn),如《軍用軟件能力成熟度模型》(GJB5000)《開發(fā)運維一體化能力成熟度模型》(GB/T 42560-2023)《軟件安全開發(fā)能力評估技術(shù)規(guī)范》(T/ISC 0042—2024)和《軟件供應(yīng)鏈安全要求》(T/ISC0044-2024)等��?��;谶@些標(biāo)準(zhǔn)����,開源網(wǎng)安提出了自己的 S-SDLC CMM 模型作為標(biāo)準(zhǔn)執(zhí)行框架�,遵循市場普遍認(rèn)可的分級政策,將軟件開發(fā)能力成熟度分為五個等級:第一級為無組織無定義�����;第二級為可重復(fù)經(jīng)驗和部分管理�;第三級為正式的標(biāo)準(zhǔn)化管理流程�����;第四級為有定量分析管理過程�;第五級為開發(fā)團隊能持續(xù)改進整個開發(fā)過程��。S-SDLC CMM 的內(nèi)容涵蓋了軟件安全開發(fā)能力����、軟件供應(yīng)鏈安全要求以及 DevOps 開發(fā)運維一體化的相關(guān)標(biāo)準(zhǔn)要求,填補了國產(chǎn)化軟件安全開發(fā)能力評估框架的空白��。企業(yè)可通過內(nèi)部自查或者外部第三方的審查���,依照模型指導(dǎo)從合規(guī)性��、安全需求分析����、軟件供應(yīng)鏈��、代碼審查����、自動化流水線安全控制等方面全面評估軟件安全開發(fā)能力���,識別出軟件開發(fā)過程中的安全薄弱環(huán)節(jié)和潛在的漏洞,在軟件上線前解決掉大部分常見軟件安全問題�。
四、軟件安全開發(fā)咨詢過程中存在的常見問題
軟件安全開發(fā)體系建設(shè)項目的實施過程往往并非一帆風(fēng)順�����。市場對這一領(lǐng)域的認(rèn)識水平參差不齊�,這常常導(dǎo)致咨詢方和項目實施方會出現(xiàn)認(rèn)知不統(tǒng)一、溝通困難等問題����,導(dǎo)致項目相關(guān)方配合度不夠���。雖然很多企業(yè)已經(jīng)意識到了軟件安全開發(fā)的重要性���,但在業(yè)務(wù)進度的壓力下,軟件安全的需求常常被妥協(xié)忽略�,使得項目實施過程中經(jīng)常出現(xiàn)類似責(zé)任推諉的情況,特別是當(dāng)一個項目組涉及多個部門��、供應(yīng)商的時候�����,非強制性的咨詢項目溝通起來會更加復(fù)雜,項目交付的過程中對于評審結(jié)果難以達成一致���。除了加強培訓(xùn)和相關(guān)宣貫工作以外���,項目參與人員還需要進行更加精細(xì)化的規(guī)劃,根據(jù)項目實際情況來理解相關(guān)方最核心的利益訴求����。
市場認(rèn)知程度不高的現(xiàn)象同時也體現(xiàn)在部分咨詢公司自身的專業(yè)性不夠上,軟件安全概念常常因為商業(yè)推廣需要而被混淆��,甚至?xí)霈F(xiàn)咨詢項目實施到后期��,客戶不清楚項目能達成什么效果的情況���。目前市面上能夠進行合格的軟件安全開發(fā)差距分析的公司還不多���,能夠根據(jù)差距分析的結(jié)果進行軟件安全開發(fā)治理咨詢的公司更少。有相當(dāng)一部分咨詢公司會將軟件安全開發(fā)體系建設(shè)咨詢簡化為合規(guī)性檢測和滲透測試���,或者用工具進行自動化掃描及編碼規(guī)范解讀��,甚至有的傳統(tǒng)網(wǎng)絡(luò)安全公司承接了軟件安全開發(fā)業(yè)務(wù)���,依舊開展的是網(wǎng)絡(luò)硬件設(shè)備檢測或防火墻配置服務(wù)����。這些不僅不利于咨詢公司普及軟件安全的知識���,還會讓項目在交付的時候出現(xiàn)用戶不認(rèn)可的情況���,客戶會不斷要求項目需求蔓延,咨詢公司也疲于解釋自己的工作內(nèi)容�����。
由于軟件安全開發(fā)的相關(guān)概念是從西方傳入我國的�����,在咨詢業(yè)務(wù)開展的時候����,很多咨詢公司會參考許多國外優(yōu)秀案例和經(jīng)驗,往往會忽略客戶的實際需求���,過度追求大而全的理想化效果���。我們常常看到咨詢公司在實施項目時���,首先會讓客戶中斷正常業(yè)務(wù)來完成軟件安全理論及知識的培訓(xùn)�����,或者召開非常多的培訓(xùn)會議����,導(dǎo)致客戶正常業(yè)務(wù)受阻����,而培訓(xùn)的許多內(nèi)容都是根據(jù)國外的經(jīng)驗而定,忽略了客戶的業(yè)務(wù)及開發(fā)人員規(guī)模��,導(dǎo)致很多認(rèn)知上的矛盾和摩擦����。而部分咨詢公司的實施人員常常拿著很多舶來知識當(dāng)作圣經(jīng)��,片面追求理論的正確性��,只知其然不知其所以然��,很難讓客戶信服����。
五���、結(jié) 語
軟件安全開發(fā)若要做得好��,關(guān)鍵在于企業(yè)首先必須認(rèn)識到其重要性�,企業(yè)內(nèi)部能夠自上而下地提出明確軟件的安全目標(biāo)���。軟件安全質(zhì)量需要與企業(yè)自身質(zhì)量管理體系相結(jié)合�,并與相關(guān)人員績效相關(guān)聯(lián)��,從而在企業(yè)的開發(fā)流程控制�����、政策制度�、工具使用、環(huán)境建設(shè)等多方面得到全面融合���。同時��,運用自動化和可視化工具不僅提升了安全檢測�����、漏洞掃描和代碼審計等具體活動的執(zhí)行效率���,還有效促進了員工對安全流程的認(rèn)識。通過定期進行差距分析和治理���,這些優(yōu)秀的軟件開發(fā)團隊能夠系統(tǒng)性地了解當(dāng)前軟件開發(fā)過程中存在的哪些安全能力的不足�,并適應(yīng)新的應(yīng)用場景下的軟件漏洞威脅和技術(shù)挑戰(zhàn)���,滿足最新的法規(guī)行規(guī)要求�,持續(xù)保障軟件系統(tǒng)的安全性和可靠性��。
(本文刊登于《中國信息安全》雜志2024年第3期)
等保測評咨詢
