SDL 26/100问:代码安全扫描应该设置哪些指标?
这部分内容易与代码安全扫描工具混淆,因为有部分指标如覆盖率、检出率等是重合的,还可能出现指标的指向不明等问题。故将从不同群体视角,对主要指标进行阐述:
1、对安全人员的指标
1)开发语言覆盖率:SDL团队需要考虑检测能力应覆盖公司所有的开发语言,通过对工具选型、异构方案设计等方式实现;
2)检测规则覆盖率:安全工具检测规则覆盖开发安全规范内容,或内部常见漏洞类型的情况,也是通过工具选型、SAST规则运营等方式实现;
3)检出漏洞修复率:已知漏洞的修复率与研发安全团队紧密相关,只有风险被消除才能称之为闭环、安全工作才有价值,故研发安全团队具有监督、组织业务修复等责任,可通过内部红黑榜、专题汇报等方式推进。
2、对开发人员的指标
1)检出漏洞修复率:该指标也应该纳入开发团队,作为软件质量的一个度量因素管理。开发团队需要认为自己对编写的软件安全质量负责,即使会遇到交付压力大、习惯、技能等困难,也应在安全人员的辅助下完成漏洞修复。无论是安全或开发人员,部分指标和研发安全的目标应保持一致。只有各自承担起自己的职责,才能交付安全的软件。
更多软件安全内容,可以访问:
1、SDL100问:我与SDL的故事
SDL与DevSecOps有何异同?
如何在不同企业实施SDL?
SAST误报太高,如何解决?
SDL需要哪些人参与?
在devops中做开发安全,会遇到哪些问题?
如何实施安全需求?
安全需求,有哪些来源?
安全需求怎么实现自动化?
实施安全需求,会遇到哪些难题?
安全需求和安全设计有何异同及关联?
设计阶段应开展哪些安全活动?
有哪些不错的安全设计参考资料?
安全设计要求怎么做才能落地?
有哪些威胁建模方法论?
有哪些威胁建模工具?
如何开始或实施威胁建模?
威胁建模和架构安全评审,有何异同?
编码阶段,开展哪些安全活动?
如何选择静态代码扫描(SAST)工具?
如何选择开源组件安全扫描(SCA)工具?
SCA工具扫描出很多漏洞,如何处理?
SCA工具识别出高风险协议,如何处理?
如何制定一份有用的开发安全规范?
如何做到开发安全规范的有效实施?
SDL 25/100问:应该如何选型代码安全扫描工具?
2、SDL最初实践系列
开篇
安全需求
安全设计
安全开发
安全测试
安全审核
安全响应