SDL 软件安全开发周期 Security Development Lifecycle

news2024/11/30 0:36:08

本文参考多篇文章写作而成，出处在文末注明。

SDL的是安全开发生命周期，Security Development Lifecycle。由微软最早提出，是一种专注于软件开发的安全保障流程。为实现保护最终用户为目标，它在软件开发流程的各个阶段引入安全和隐私问题。
SDL的核心理念就是将安全考虑集成在软件开发的每一个阶段：需求分析、设计、编码、测试和维护。从需求、设计到发布产品的每一个阶段每都增加了相应的安全活动，以减少软件中漏洞的数量并将安全缺陷降低到最小程度。
安全开发生命周期 (SDL)是侧重于软件开发的安全保证过程，旨在开发出安全的软件应用。

DAST 动态应用程序安全测试

Dynamic Application Security Testing,DAST
在测试或运行阶段分析应用程序的动态运行状态。它模拟黑客行为对应用程序进行动态攻击，分析应用程序的反应，从而确定该Web应用是否易受攻击。

DAST是一种黑盒测试技术，是目前应用最广泛、使用最简单的一种Web应用安全测试方法，安全工程师常用的工具如AWVS、AppScan等就是基于DAST原理的产品。

1）通过爬虫发现整个 Web 应用结构，爬虫会发现被测Web程序有多少个目录，多少个页面，页面中有哪些参数；
2）根据爬虫的分析结果，对发现的页面和参数发送修改的 HTTP Request 进行攻击尝试（扫描规则库）；
3）通过对于 Response 的分析验证是否存在安全漏洞。

DAST这种测试方法主要测试Web应用程序的功能点，测试人员无需具备编程能力，无需了解应用程序的内部逻辑结构，不区分测试对象的实现语言，采用攻击特征库来做漏洞发现与验证，能发现大部分的高风险问题，因此是业界Web安全测试使用非常普遍的一种安全测试方案。DAST除了可以扫描应用程序本身之外，还可以扫描发现第三方开源组件、第三方框架的漏洞。

从工作原理也可以分析出，DAST一方面需要爬虫尽可能的把应用程序的结构爬取完整，另一方面需要对被测应用程序发送漏洞攻击包。现在很多的应用程序含有AJAX页面、CSRF Token页面、验证码页面、API孤链、POST表单请求或者是设置了防重放攻击策略，这些页面无法被网络爬虫发现，因此DAST技术无法对这些页面进行安全测试。

DAST技术对业务分支覆盖不全，即使爬到一个表单，要提交内容，服务端对内容做判断，是手机号码则进入业务1，不是手机号码进入业务2，爬虫不可能知道这里要填手机号码，所以业务分支1永远不会检测到。
DAST必须发送漏洞攻击包来进行安全测试，这就需要有安全专家不断更新漏洞扫描插件，而且这种测试方式会对业务测试造成一定的影响，安全测试的脏数据会污染业务测试的数据。
DAST的测试对象为HTTP/HTTPS的Web应用程序，对于IOS/Android上的APP也无能为力。
DAST发现漏洞后会定位漏洞的URL，无法定位漏洞的具体代码行数和产生漏洞的原因，需要比较长的时间来进行漏洞定位和原因分析，这使得DAST不太适合在DevOps的开发环境中使用。

SAST 静态应用程序安全测试

Static Application Security Testing,SAST
在编码阶段分析应用程序的源代码或二进制文件的语法、结构、过程、接口等来发现程序代码存在的安全漏洞。

1）首先通过调用语言的编译器或者解释器把前端的语言代码（如JAVA，C/C++源代码）转换成一种中间代码，将其源代码之间的调用关系、执行环境、上下文等分析清楚。

2）语义分析：分析程序中不安全的函数，方法的使用的安全问题。

3）数据流分析：跟踪，记录并分析程序中的数据传递过程所产生的安全问题。

4）控制流分析：分析程序特定时间，状态下执行操作指令的安全问题。

5）配置分析：分析项目配置文件中的敏感信息和配置缺失的安全问题。

6）结构分析：分析程序上下文环境，结构中的安全问题。

7）结合2）-6）的结果，匹配所有规则库中的漏洞特征，一旦发现漏洞就抓取出来。

8）最后形成包含详细漏洞信息的漏洞检测报告，包括漏洞的具体代码行数以及漏洞修复的建议。

SAST需要从语义上理解程序的代码、依赖关系、配置文件。优势是代码具有高度可视性，能够检测更丰富的问题，包括漏洞及代码规范等问题。测试对象比DAST丰富，除Web应用程序之外还能够检测APP的漏洞，不需要用户界面，可通过IDE插件形式与集成开发环境（如Eclipse、IntelliJ IDEA）结合，实时检测代码漏洞问题，漏洞发现更及时，修复成本更低。

另一方面SAST不仅需要区分不同的开发语言（PHP、C＃、ASP、.NET、Java、Python等），还需要支持使用的Web程序框架，如果SAST工具不支持某个应用程序的开发语言和框架，那么测试时就会遇到障碍。DAST支持测试任何语言和框架开发的HTTP/HTTPS应用程序。传统的SAST扫描时间很慢，如果是用SAST去扫描代码仓库，需要数小时甚至数天才能完成，这在日益自动化的持续集成和持续交付（CI/CD）环境中效果不佳。
SAST只对源代码进行检测，而不会分析整个应用程序，这迫使企业需要购买单独的软件组合分析工具（SCA），即使是SCA也只是识别公开的漏洞；开源、第三方API或框架中的未知漏洞超出了SAST和SCA的范围。

IAST 交互式应用程序安全测试

Interactive Application Security Testing,IAST
通过代理、VPN或者在服务端部署Agent程序，收集、监控Web应用程序运行时函数执行、数据传输，并与扫描器端进行实时交互，高效、准确的识别安全缺陷及漏洞，同时可准确确定漏洞所在的代码文件、行数、函数及参数。IAST相当于是DAST和SAST结合的一种互相关联运行时安全检测技术。