令狐冲的安全开发周期引进手记

【事件背景】
话说令狐冲所在的华山剑派的信息技术部，最近又出事了！
原来，他所在的开发团队发布的一款名为“华山剑谱”的手机App被人发现含有木马，经过了解，原因是开发工具不是官方正版的，而是从网上下载了一个被植入木马的Xcode修改版。这谁能想到啊！
而就在前不久，“华山剑谱文化推广”网站也被入侵了好几次，内部电子资料被黑客悉数拿走，甚至连来网站购买纪念品的全部用户隐私资料也泄露了，这些资料包括姓名、手机号、地址等，如果被用于诈骗，那后果严重去了。
老大岳不群很生气，责成令狐冲想办法，不能再出事了！！！
能怎么办？
咱们华山派可不像少X派那么有钱，没办法花几百万去买个咨询服务帮忙规划一下，再花上几千万购买他们建议的设备、软件，还有每年的维护费也得几百万呢。招聘几个安全专家？令狐冲打算算一下可能需要多少钱，等等！老大会批安全预算？还是算了吧。令狐冲本想去找岳不群聊一下钱的问题，可按照对老大一贯的了解，又止步了，他没去都能想到答案：你们自己想办法搞定！因为前年购置办公设备的费用也是砍了又砍，最后购买的低配电脑，现在都卡成翔了！
没有专业的安全人员帮忙把关，只能自己学习摸索，照着开发教程做的开发，后来发现坑太多了，每发生一次入侵事件，就能发现一个或几个坑（不安全的编码），后面继续开发的时候，就提醒自己记得绕过这些坑。有时候遗忘了，这些坑还没有排查，新版本已经发布出去了。不断的有一些新的坑被发现，或者是老的坑没有检查又被人挖出来，所以，网站还是经常被黑客光顾。

【寻找解决方案】
好在混迹江湖这么多年，朋友不少，其中不乏一些安全圈的，有的供职于知名互联网企业，也有的专职安全服务，就打算了解一下他们是怎么做的。一通电话下来，总算摸清了一些门道：
? 小公司基本没有自己的安全人员，安全方面基本不考虑，漏洞只能发现一个解决一个，业务上都忙不过来，哪里会关注安全呢，跟咱们自己的情况很像。
? 中等规模的公司有自己的安全人员帮忙把关，有一些基本的规范和不是很完善的流程，即使被发现漏洞，也基本能够得到及时处理。
? 大公司都有自己的安全团队和一套体系化的方法论、IT系统和流程来支撑，有安全内控管理体系，有流程化的作业方式，有人负责管理策略、有人负责技术标准、有人负责流程、有人负责评审、还有人负责实施，分工协作，各司其职。
看来，中小公司的做法基本没有什么参考价值了。
问了大公司的朋友，我们能否效仿？
得到的回答是，你这规模太小，我们光维持这套流程体系的正常运转就有好几百人呢，而且所用到的系统还是公司自己开发的，公司有版权，这个是不能给你的；不过，你可以看看外面的安全服务，有些做的还不错。
安全服务是个什么鬼？经过一番了解，有一些专门对外提供安全服务的公司，有做渗透测试为主的（咨询为辅）、有做众包测试（就是一群白帽子黑客帮你测试）的，目前流行的是众包测试。令狐冲心动了，经熟人推荐，找到一家众包测试公司，并找老大申请到少量预算，体验了一番，结果还真的很给力，白帽子帮他找到了几十个高危漏洞并给出了改进建议。
看到这些报告，令狐冲安排信息技术组的几个人，按照建议（过滤输入等），很快把这些漏洞中的大部分堵上了。入侵事件目前看来是消停了。
过了一个月，又有新版本上线，上线之后，你猜怎么着？
没错，又被入侵了！经人指点，这次黑客使用的还是老漏洞，只不过，手法稍微变化了一点。真是防不胜防啊！令狐冲感叹道。

后来，令狐冲慢慢了解到：
? 做好安全是一项系统化的工程，就算是业界知名的安全产品或安全解决方案，也都是只能解决某些针对性的问题；
? 没有任何一款产品能够解决目前面临的所有安全问题，没有一劳永逸的解决方案；
? 大公司都有一套自我完善的安全体系，攻击方式层出不穷，应对策略也应逐步适应、随机应变！
? 令狐冲武功再高，也斗不过一支军队！靠个人英雄的时代已经过去了，需要逐步建立一套适应自己业务的安全体系，并不断的去完善它；
? 原来大公司里面用的那一套体系，名字叫做SDL，它是Security Development Cycle(安全开发周期)的缩写，从源头开始进行安全控制，通过规范的项目管理过程和关键安全任务的引入，确保开发设计及部署过程中遵从安全标准与规范，保障所交付产品的安全性。

原来，大公司的秘密武器就是这个叫做SDL的东东！
那么，我们这么小的团队，可以实施SDL吗，我们根本没有经验，也没有人熟悉这个领域。如果有现成的网站提供SDL SaaS服务，我们不就可以立即开始搭建我们自己的安全体系了吗。后来，一个朋友悄悄告诉他，有个叫做Janusec的公司提供了一个免费的服务平台。

【SDL SaaS试用体验】
令狐冲按照朋友的指引，找到了这个服务平台（ ）。
按照网站上的说明，这是一个以强化安全内控为特色的在线项目管理平台，它源于安全开发周期方法论和国际/国内巨头公司的项目管理实践，从源头开始进行安全控制，通过规范的项目管理过程和KCP任务的引入，确保开发设计及部署过程中遵从安全标准与规范，保障所交付产品在全生命周期过程中的安全性。
令狐冲注册了一个账号，并且把小伙伴岳灵珊、任盈盈、仪琳，还有师母宁中则、老前辈风清扬、江湖朋友东方不败等都拉了进去，开始体验：
首先，建立起自己的产品团队：

创建了自己的项目（按照产品的版本进行立项，一个版本就是一个项目）：

首页看起来是这个样子：

特色简介：

其实，令狐冲发现最主要的特色是在这里（自动添加关键任务）：

点击打开项目详情，可以看到全部的KCP任务：

令狐冲看到项目中已经自动添加了好多任务，都是以KCP开头的，这个KCP是个什么鬼？到该平台的术语中一查，原来KCP就是这个：关键控制点（Key Control Point），或关键检查点（Key Check Point），属流程中可选的重要任务节点，如果该节点未通过审核或者未正常完成，则不能进入下一阶段。

而且，针对客户端的自检项和针对Web的自检项还有点不一样：

“咦，第一条就跟最近的安全事件有关耶”，令狐冲一拍大腿，然后喊旁边的岳灵珊过来看。开发的小伙伴听到了，一起围过来。
令狐冲趁机向大家介绍了SDL安全开发周期与流程管控的机制：
?设计阶段有安全设计自检，规避方案设计上的安全风险；
?开发阶段有安全开发自检，提前发现代码问题与纠正；
?测试阶段有安全测试自检，提供安全测试用例，通过这些用例，高危漏洞基本就排除掉了；
?上线后，有安全部署自检，看看有哪些措施还没有做，执行一条就确认一条，不制造低级的错误，如弱口令、不该对外网开放的端口对外公开、使用root权限运行业务逻辑或应用中使用数据库root账号等。

自检之后，还有一个复核环节，让在安全方面有经验的人员复核，可以提前规避大多数问题、低级错误等。
令狐冲当即决定，以后我们也实行SDL了，把手上的几个项目管理起来。

【后记】
自从使用了这套SDL安全管控平台以后，安全上不再手忙脚乱了。令狐冲已经做到了心中有数、处变不惊。
虽然，偶尔仍有漏洞报告过来，但是频度和次数已经远远小于从前，不断改进优化，最近他们已经2个月没有收到漏洞报告了。
令狐冲终于不再被无休止的入侵、APP漏洞等事件烦扰，他终于又可以和小伙伴们一起愉快的玩耍了，什么冲灵剑法、辟邪鞭法、竹林弹琴等。

附件：