SDL思考之评价考核体系

栏目: IT技术 · 发布时间: 4年前

内容简介:一个概念或者一个事情如果有一个标准来判断好与不好,好的话那么是好到什么程度。有了这个标准可以知道当前的状态,如何往更好的方向努力。在学校期间的考试分数是一个学生学习好坏的评判标准。在注重数字化运营时代,凡事都在追求量化数字化,有了可量化的结果,能够明白当前的状态,同时明白哪些需要可以继续提升,哪些需要部分填补空白。因此一个好的评价体系就显得很重要,从哪些维度去进行评价,各个维度所占的权重。一旦设定好了,大家就会根据所要求的项去发力做好。拿高中教育来举例,一切唯分数论,那么学生父母也就步调一致,能否提高分数是

一个概念或者一个事情如果有一个标准来判断好与不好,好的话那么是好到什么程度。有了这个标准可以知道当前的状态,如何往更好的方向努力。在学校期间的考试分数是一个学生学习好坏的评判标准。

在注重数字化运营时代,凡事都在追求量化数字化,有了可量化的结果,能够明白当前的状态,同时明白哪些需要可以继续提升,哪些需要部分填补空白。

因此一个好的评价体系就显得很重要,从哪些维度去进行评价,各个维度所占的权重。一旦设定好了,大家就会根据所要求的项去发力做好。拿高中教育来举例,一切唯分数论,那么学生父母也就步调一致,能否提高分数是要不要做一件事的评判标准。导致体育课,美术课,音乐课老是被占用。为什么?因为中考高考不考这些。

一个好的评价体系是为了把一件事物往长期健康的方向引导。

SDL目标就是为了减少应用系统的风险,其中一个很重要的衡量标准是漏洞数。听说有些企业如果被白帽子发现高危漏洞,影响开发团队和安全团队的KPI。

不同对象有不同的考核评价角度,我们主要谈谈安全测试人员以及公司两个部分。

安全SDL实施人员

安全人员在SDL中考核除了外暴漏洞数、漏洞漏测率、漏洞修复率,还包括安全培训、规范沉淀、自动化实现等。

外暴漏洞数、漏洞漏测率、漏洞修复率这些指标都是围绕减少风险这个目标为导向的。每年都会根据所负责的系统的情况制定一个合理KPI数值。当所负责的系统被白帽子暴漏洞的时候内心就是一句“我靠”,又被暴问题了,同事之间就会开玩笑说今年的KPI完蛋了。

围绕漏洞这个指标大家都有,这个是结果。而规范沉淀就是一个把过程更好实现的一个方式。需求评审关注哪些、设计评审关注哪些、有哪些成熟的设计方案、安全编码注意哪些、安全测试测哪些,将这日常中的点点滴滴沉淀下来,无论是形成规范、checklist、基线还是通用方案。这些可以使工作规范化,避免遗漏,同时可以在团队内共享,大家共同完善,形成知识库,随时查阅。也可以让新人快速上手工作。因此沉淀这块也基本会作为KPI之一去完成。

一项工作的发展大体遵循从混乱、到有序规范并渐渐过渡到自动化的过程。开始的时候是摸索阶段,需要花费很多的时间,后面慢慢了解了套路,每次按照套路来,很快就能完成工作。同样机械的动作重复多次之后,就会想着能否自动化。工具、脚本就是自动化的一种实现。自动化可以节省人力,大大提高效率。SDL中哪些可以自动化,最容易想到的是安全测试,DAST、IAST这两种方式已经比较成熟了,商业开源可根据实际情况选择。代码扫描也能实现自动化,还可以完美嵌入公司的开发流程中,可以做到在代码上传后自动扫描。这些都是安全SDL实施人员可以纳入KPI中的。

公司

整个SDL做得好不好,还得从整个体系去看。目前我们团队尝试做了一个初期的SDL成熟度模型,借鉴了其他安全标准的制定,比如BSI、SAMM,划分了五个阶段

第一阶段:不可预测、无反应性

第二阶段:反应缓慢、能力有限

第三阶段:可重复、主动、模板化

第四阶段:可测量、有目的性

第五阶段:不断优化、持续改进

很多事物的成熟度都可以划分为这几个阶段,比较通用的。需要考虑的是每个阶段每一项内容需要写到什么程度。比如我们考察了涉及到安全部分占领导开发团队KPI多少,安全开发的深入流程深度,工具化平台化程度、公司考核、规范制度、漏洞闭环程度、人员配备等,通过这一系列的维度来判断SDL处于什么状态,后续可以往哪些方面提高。

目前SDL这块好多大公司都在实践,大家各自都有各自相关的规范、方法论、评价体系,没有优劣,只有是否合适,根据开发人员安全人员比、业务系统大小、安全预算、企业发展等,打造适合自己公司的SDL,但是规范、方法论、 工具 仍然是可借鉴或者部分可借鉴的。

*本文原创作者:page100,本文属于FreeBuf原创奖励计划,未经许可禁止转载


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Blog Design Solutions

Blog Design Solutions

Richard Rutter、Andy Budd、Simon Collison、Chris J Davis、Michael Heilemann、Phil Sherry、David Powers、John Oxton / friendsofED / 2006-2-16 / USD 39.99

Blogging has moved rapidly from being a craze to become a core feature of the Internetfrom individuals sharing their thoughts with the world via online diaries, through fans talking about their favori......一起来看看 《Blog Design Solutions》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具