“讓開發(fā)者愛上安全測試”系列之源碼安全測試誰負責(zé)?
前言
順著應(yīng)用安全的發(fā)展,對于源代碼安全測試,在源代碼層面是進行安全漏洞的測試與防范,避免產(chǎn)生所謂的“0-day”漏洞,現(xiàn)在已是大家的共識,成為構(gòu)建軟件安全保障體系中必備環(huán)節(jié)。但我也常常聽到有人抱怨“源代碼安全測試很難開展,總是遇到這樣那樣的問題,分工不明,權(quán)責(zé)不清,配合變成對抗,最后導(dǎo)致虎頭蛇尾,甚至是執(zhí)行不下去,留以形勢,無法產(chǎn)生實際作用。
那么今天我們就來討論一下,企業(yè)內(nèi)部怎樣開展源代碼安全測試?到底誰來負責(zé)源代碼安全測試,才能使其有效地執(zhí)行,事半功倍?
源代碼安全測試歸準?
我們把今天這個話題,變成一個相對具體的問題來討論吧:
| 軟件源代碼安全測試工作到底應(yīng)該歸屬于哪個部門?是測試部門?是安全部門?還是開發(fā)部門? |
作為一直致力于為用戶提供最佳的軟件源代碼安全測試解決方案的我,這個問題是我必須思考和解決的。因為只有真正弄明白這個問題,才能清楚地根據(jù)用戶的實際需求,為用戶提供真正有效的幫助。
乍一看,這個問題看上去不難回答,但在實際工作分配的時候,你會發(fā)現(xiàn)好像交給誰,他們都會說“不太合適”。我們一一來分析一下:
答案1:測試部門。既然是測試嘛,當然屬于測試部門的工作范疇。當你把工作交給測試部門的時候,他們會告訴你:“對不起,我們只懂測試。功能和性能測試交給我們沒有問題,可是我們不太懂安全和安全漏洞,還是源代碼級別的安全漏洞,我們一是看不懂代碼,二是不明白什么是安全漏洞,這是安全工作,你還是找安全部門人員”。
答案2:安全部門。安全測試嘛,我們所熟知的一些測試,如漏掃,基線安全掃描,滲透測試等都是屬于安全工作職責(zé)嘛。可安全人員卻會說:“這是源代碼安全,屬于代碼安全優(yōu)化和加固,我們安全人員90%的人員來自于網(wǎng)絡(luò)安全背景,基本上看不懂代碼,更不會編寫代碼。同時,軟件源代碼我們一般也很少拿得到源代碼,拿到了也不會構(gòu)建測試環(huán)境。這還是開發(fā)部門做比較合適。”
答案3:開發(fā)部門。既然前兩個部門的人員都共同指出了他們看不懂代碼,不會編碼,所以做不好代碼安全測試。那就由開發(fā)部門來做吧。可開發(fā)部門做源代碼安全測試,他們能同意嗎?從經(jīng)驗上看,一般他們會以“開發(fā)時間緊、任務(wù)重;功能開發(fā)都無法按時完成;安全問題是安全部門考慮的”等等一系列“借口”給你推掉。要是遇到較為“強勢”的開發(fā)部門,他們會說:“安全測試的活都要我們做,那還要安全部門和測試干什么?”不過在我看來,即使開發(fā)人員做了源代碼安全測試,他們也都會以“各種各樣的理由,而將“問題”判定為‘誤報’,不去修復(fù)”。這種即作“選手”,又作“裁判”的情況,也很難真正發(fā)揮源代碼安全測試的功能。
完整的源代碼安全測試體系
那到底該誰來負責(zé)實施源代碼安全測試工作?以我們多年對服務(wù)的經(jīng)驗來看,這項工作需要安全、測試和開發(fā)三個部門有效地配合才能真正執(zhí)行下去。我將其總結(jié)如下圖:
以上圖所見,我們將四個相互獨立四個部門,在源代碼安全上進行地貫穿,相互牽動,形成一個上通下達的有效的整體,各個部門分工明確,權(quán)責(zé)清楚,再加以積極配合即可實現(xiàn)源代碼安全保障。具體上講,就是建立以“源代碼安全測試標準”中心,“審計式測試和開發(fā)者測試”為兩個基本點的源代碼安全測試制度,以“安全測試與安全開發(fā)”兩手都要抓,兩手都硬的原則來開展源代碼安全工作,并最終形成“有法可依,有法必依,執(zhí)法必嚴,違法必究”的管理格局。具體要點如下:
“源代碼安全測試標準”為中心。在以安全部門為主,開發(fā)和測試為輔的方式下,合理地制定出源代碼安全測試標準。該標準要即能滿足安全部門安全防范的要求,又要能讓測試和開發(fā)部門能夠執(zhí)行得下去,避免矯枉過正。然后由管理部門制定和發(fā)布執(zhí)行。形成“有法可依”。
“審計式測試”一個基本點。在以測試部門為主選擇業(yè)界最佳的安全解決產(chǎn)品解決方案(如思客云公司的“找八哥”云安全測試系統(tǒng)),以此建立盡可能全自動化的源代碼安全測試平臺。來實現(xiàn)測試成本最小的“審計式測試”和“開發(fā)者測試”。其中“審計式測試”是指在系統(tǒng)階段性版本發(fā)布或者系統(tǒng)發(fā)布之前的安全測試,由測試部門完成。安全部門執(zhí)行監(jiān)督。確保任何一個系統(tǒng)在發(fā)布之前都執(zhí)行了安全測試,并符合“源代碼安全測試標準”。形成“有法必依”和“執(zhí)法必嚴”。
“開發(fā)者測試”第二個基本點。開發(fā)部門在經(jīng)過幾次安全問題測試和修復(fù)過程后,就會發(fā)現(xiàn)“與其被動測試,被動修復(fù)問題,不如主動防范錯誤”。這樣一方面開發(fā)人員就會進行安全編碼方面的學(xué)習(xí)和實踐,達到盡量不出錯。另一方面,如果安全測試產(chǎn)品授權(quán)上是允許的,并測試過程也基本上是全自動化的,測試成本很低的情況下,開發(fā)人員會主動地在開發(fā)程中進行源代碼安全測試。開發(fā)者測試還帶來的另一個好處是,及時地發(fā)現(xiàn)安全問題,修復(fù)成本變化極低。這樣一來,形成了“違法必究”。
結(jié)束語
通過上面詳細的分析和總結(jié),我相們大家已經(jīng)明白了軟件源代碼安全測試工作的特點以及對實施這項目工作的工作重點。那么就形成統(tǒng)一的測試整體體系,各部門有效地積極配合才能讓整個企業(yè)安全開發(fā)水平、測試水平、理水平得到提高,真正達到事半功倍的效果。
