FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

前言

今天想跟大家聊聊在企业内如何进行漏洞的闭环管理。漏洞管理在运营中是很基础的一个工作，一个高效的漏洞管理流程能够提高工作效率。这里总结一下我们是如何去做的，都是一些很简单基础的内容。

职责划分

漏洞管理过程中涉及到了安全部门以及业务方，下面首先看看各个主体需要做到的工作。

安全部门

安全部门是漏洞管理的主要执行方，要负责整体流程的制定，知识库的建立，漏洞评级制度等等。

整体流程的制定

安全部分要负责建立起漏洞管理的一个整体流程，包括从从漏洞发现到漏洞关闭的整个流程，而且要形成书面文件并发给各个业务方。

漏洞知识库

安全方还需要建立一个好的漏洞知识库，这样可以让业务方宣传常见的漏洞以及危害。安全测试人员针对在日常评估工作中发现的常见的漏洞，梳理该类漏洞可操作性的检测方法及其加固整改方案，做一个知识的积累。

建立漏洞评级标准制度与修复时长制度

安全部门也应该建立起漏洞评级标准，根据哪些维度去评估漏洞的危害程度以及修复时长。常见影响漏洞评级的因素包括影响范围，影响强度，利用难度，资产重要性等等。根据实际情况建立起这个评估标准以及对应的修复时长。

确认业务负责人

要确认各个业务对应的负责人或者对接人，当出现了安全漏洞应该指派给谁进行处理。

业务方职责

业务方的只要职责就是配合修复漏洞，指派一个对接人，当接受到新的漏洞时负责进行修复。

漏洞管理的整体流程

漏洞管理主要包括漏洞发现，评估评级，漏洞流转，漏洞复验，漏洞关闭这几个部分。

漏洞发现

漏洞发现有多个不同的渠道，例如SRC，监管通报，内部扫描，内部安全人员测试等等。当发现了漏洞需要安全人员验证漏洞的真实性。

漏洞评级

这个根据前面制定的标准进行评定就好了。要保证漏洞评级的合理性，不然业务部门可能会有异议。

漏洞流转

漏洞评级以后录入系统就需要指派给对接人进行修复，这个就是漏洞的流转。漏洞的流转建议跟随公司内部的漏洞管理平台，没必要在建立一个新的安全漏洞流转平台。常见的可以用于漏洞流转的TeamBition，钉钉等。如果内部没有这种平台，可以自建一个漏洞管理系统，开源的如GitHub - creditease-sec/insight2

复验&关闭漏洞

业务方修复漏洞以后指派给安全部门，复验修复成功以后，关闭漏洞。如果修复的有问题，需要在重新指派给业务方。

如果企业内没有办法完全实现SDLC流程，那么如何发现新的需求或者新业务并进行安全测试？目前我们采用的是获取产品系统中的所有需求文档，但是这样存在很多的问题，例如需求太多，有很多不需要测试；很多的需求不知道具体的功能点以及如何进行测试并且也没有业务方的对接人；对业务逻辑不了解导致测试确实。针对这种方式存在的问题，一直在思考有没有其它的方式来解决？各位大佬有没有什么好的方案。

上次了解到其它公司将测试的选择交给了业务方，如果业务方认为该功能需要安全介入就提交测试申请，安全人员接到申请才开始测试，然后定期对系统进行全部测试。这种方式也有问题，那就是业务方如何判断项目是否需要安全接入。

针对这个问题，各位大佬有没有什么好的方案。

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）