@贝壳儿
2年前 提问
1个回答

企业应用安全能力的构建可以拆分为哪些重点任务

趣能一姐
2年前

企业应用安全能力的构建可以拆分为以下重点任务:

  • 建立应用部署规范和检查清单,确保应用按照安全域划分正确地部署在基础设施环境中;建立应用运行环境规范和检查清单,确保应用运行环境正确地使用网络、主机和云基础的安全防护能力,并能够对应用的输入、输出进行监控。

  • 建立覆盖漏洞情报、漏洞扫描、渗透测试、众测等在内的漏洞收集渠道,并反馈到缺陷(bug)管理平台和安全防护平台;建立漏洞评估和修复体系。

  • 建立应急响应机制,对应用漏洞、安全事件进行及时响应。

  • 提供安全意识和技能培训,确保应用开发、测试人员建立对安全的理解,从而在相关组织中建立良好的安全文化。

  • 优化应用开发流程,在需求确定、架构管控、编码开发、测试评估等环节添加软件开发生命周期(SDLC)安全控制机制。

  • 编写涵盖国家和地方法律/法规、监管要求、行业标准、内部规范的安全合规要求检查表,建立安全通用需求清单,把安全需求导入到应用;编写覆盖身份验证、访问控制、数据管控、密码使用等安全功能的应用安全架构模板,确保应用在架构中导入安全基础能力。

  • 建设涵盖静态应用代码安全测试(SAST)、动态应用代码安全测试(DAST)、交互式应用代码安全测试(ISAT)在内的应用代码安全测试(AST)平台,实现代码安全检查与应用开发测试的聚合;建设软件组件分析(SCA)平台,建立应用开发框架、中间件和通用库清单,结合漏洞情报,提高应用开发框架、中间件和通用库漏洞管理的准确性和效率。

  • 制定应用安全测试用例清单,实现安全与测试的聚合。

  • 建设融合身份管理、特权管理等安全管控措施的开发运维一体化(DevOps)平台,为应用开发团队提供支撑。

  • :建立应用开发框架、中间件和通用库的黑名单,避免应用使用不安全的应用开发框架、中间件和通用库。