公司

首頁 > 關于我們 > 安恒動態 > 2022 > 正文

安全向左，開發向右？論二者矛盾與解決之道

閱讀量：次 文章來源：安恒信息

安恒信息安全咨詢講武堂

講武堂，帶兵者研究武學之所。今設“安恒信息安全咨詢講武堂”，與圈內人士共同聚焦、分享安全咨詢領域的心得體會與實踐經驗。

本期聚焦“開發人員與安全人員的矛盾與解決“，為行業相關人員提供解決矛盾的建議，歡迎大家文末留言探討。

前言?/Preface/

隨著應用安全防護與安全漏洞治理效率等要求的不斷提高，軟件供應鏈安全合規監管力度的不斷加強，以安全左移為核心思想的安全開發方案在各行業不斷落地實踐，取得了良好的安全效果。與此同時，通過對大量行業企業進行調研分析，安全措施與開發活動、安全部門與開發測試部門之間的“矛盾”，依然是阻礙安全開發落地或持續推進的最大內部障礙。

例如安全測試的人員吐槽：“這幫人研發啥腦回路能寫出這種漏洞”、“上次都說測過這個漏洞了，這次還有”。開發人員也吐槽安全：“這樣寫有什么風險，你又不能證明”。聽起來就像是安全向左，開發向右，各有各的難處，充滿矛盾。

“矛盾”的客觀分析

Objective Analysis of "Contradiction"

做事情的思路完全不同

安全角度關注的重點在于過程——過程的安全性。所以在從事安全工作的過程中，需要通過分析去開展工作，比如業務是怎么運行的、調用了哪些組件、訪問了哪些組件、身份認證是怎么實現的等。甚至很多時候需要結合自身的經驗，去推測研發人員是怎么實現，去構造測試方式以及測試用例，自然有了“這研發啥腦回路能寫出這種漏洞”的感慨。

開發工作更多地關注的是結果的正確性，在結果的正確性上考慮其他因素。例如連續性、健壯性、實現效率。開發人員更傾向于選擇已驗證的技術去達到正確的結果。只不過已驗證并不是安全的已驗證，而是結果已驗證。例如搜索引擎里其他人是怎么解決的、技術文檔里是如何解決。但是很多問題都沒有標準答案，需要通過一個個小問題的答案的組合，所以開發人員往往是通過組裝的方式，不會去關注中間過程是如何實現的。

知識體系儲備不一樣

安全人員的知識體系的儲備是從安全的角度出發的，以XXX漏洞原理、XXX威脅、風險為主，圍繞這些相關的案例和實踐經驗進行學習和成長。而開發人員的知識體系儲備則是從語言規則、工具包、設計模式、算法這些內容為主，可以說是完全不相同的維度。

苛求開發人員能像安全人員一樣，避開所有漏洞是不太可能的，甚至可以說安全不是開發人員的第一優先級，而安全人員往往對于研發的技術不太熟悉，很難給出能直接可供研發人員使用，達到安全目標的建議。

核心訴求與目標不一致

大多數情況下，安全人員不是開發多團隊協作里的一環，開發團隊確保的是應用系統的快速交付上線與迭代更新，而安全團隊需要確保待上線的系統是滿足監管與安全要求的。跨部門協作，各自團隊與角色工作目標不一致，自然會有很多“矛盾”。

安全團隊認為開發不配合，給業務帶來巨大安全隱患，也造成后續不必要的安全投入；開發團隊認為安全就是來添麻煩的，既要又要還要。

從更高維度的企業角度來說，開發和安全并不是對立的兩個事情，不是要安全還是要開發的選擇題，安全、穩定、可靠的應用系統支撐業務發展才是共同的目標。

“矛盾”的解決之道

The Solution to "Contradiction"

安全開發必然多團隊配合的工作，消除矛盾、確立共同目標才有協作的基礎。這就對安全團隊提出了更高的要求。

弱化安全的對抗屬性

我們其實在聊安全的時候都離不開風險這個概念，都聽過一句話“絕對的安全是不存在的，安全是相對的”， 絕對安全大家可能都知道，但是什么叫相對安全就是一個大大的問號。從開發人員角度，就會出現——“既然永遠有問題，那么還需要做安全嗎”的疑問，而安全人員也會陷入到需要一直一直找漏洞和風險的情況，甚至以數量作為KPI，這極大地強化了開發和安全之間的對抗，針對多個漏洞和風險進行挑戰和復議，難以推進協作，反而造成了大量內耗。

弱化安全對抗的第一步是跳出提升漏洞數量的陷阱，其實安全和開發的出發點都是一樣的，希望應用系統的風險越來越小。從安全質量的角度上來看，安全團隊的理想情況是測出的漏洞和風險是0個，而開發團隊的理想情況是編寫的漏洞和風險是0個。

但是由于風險屬性的存在，0個是很難存在的情況，所以第二步是嘗試對相對安全的標準進行細化，圍繞這個相對安全的標準工作就能更加容易得達到“0個”得目標，無論安全還是開發都可以圍繞標準部署工作，從某種意義上消除摩擦，避免后續在具體工作上的矛盾。

強化對開發團隊的賦能

賦能不僅僅只是一些培訓，更多的需要建立起相互理解和認識，但是由于過于龐大的開發團隊，往往需要安全團隊優先行動起來，從開發人員一貫思路上提供助力。

安全團隊幫助研發更精準的

分析安全需求以及質量目標

安全團隊構建起安全需求以及威脅的知識庫，通過威脅建模工具的方式（例如安恒安全需求分析工具）幫助開發從系統、業務等角度識別各個安全需求，細化開發任務，落地安全質量標準。

安全團隊提供已驗證的安全工具

協助開發人員安全地組裝應用

安全團隊與開發團隊一起設計一些常用的安全工具方法，例如安恒信息的安全開發SDK，開發人員不需要再用考慮如何組件的設計是否安全，重新回到如何組裝這些組件、工具去解決問題的角度上。

但是這些并不代表著開發團隊不需要行動起來，所有這些措施里都包含了大量的安全知識和經驗，如何掌握和使用這些信息，從來不是一件輕易的事情，哪怕它們已經做得非常清晰、完善、通俗易懂。

開發和安全需要互相認識、理解，才能真正的協作。

強化協作與持續優化

這里不僅僅是說某個開發流程的協作，而是思路上的轉變，圍繞思路的轉變去設計、調整協作流程。

可能有的人會問，你說的轉變是安全團隊既管殺也管埋嗎？做到漏洞的檢測發現到修復一條龍。

確實，這是轉變的一部分，但是除了這個意外很重要的一點是開發與安全團隊現在是以系統的安全質量為共同的目標，那么就不能是以問題導向為唯一目標了，問題、bug、安全漏洞的修復不是閉環的終點，需要將發現的問題推回到整個體系中，優化流程，發現知識體系的殘缺、工具規則的優化等等，通過PDCA中A去實現閉環。