內生安全構建應用安全能力時需要考慮哪些方面

內生安全構建應用安全能力時需要考慮以下方面：

• 應用安全治理：應用安全治理包括協助組織、管理和評估包括人員培養在內的各個層面的與應用安全相關的活動。這些活動包括：確定應用安全目標；規劃和分配應用安全相關的組織、角色與職責；規劃應用安全流程卡點，確定應用安全相關的預算和評估指標；針對合規要求確定安全控制措施，建立服務水平協議（SLA）等供應鏈管控措施以確保商業軟件的安全；針對應用生命周期中涉及的架構師、開發人員、測試人員、運維人員等各類角色提供意識和專業類的安全培訓，并建立相關的認證和考評機制。

• 應用安全情報：應用安全情報涵蓋了在企業層面組織、匯集應用安全的相關知識，這些知識用于指導企業內的應用安全實踐。這些知識包括：攻擊案例、攻擊技術、攻擊模式、威脅建模等與攻擊者相關的知識；合規需求清單、安全需求清單、安全編碼規范、應用框架和中間件規范、軟件供應商應用安全義務標準等在內的覆蓋應用系統生命周期各項相關工作的標準和要求；滿足安全需求所需的設計模式、中間件和通用庫清單、安全架構模式、安全中間件、安全指南等。

• 應用生命周期安全：應用生命周期安全涵蓋了進行應用系統安全分析、保障應用系統安全開發的各項實踐，及其相關的流程、工具、文檔等，包括：通過架構評審流程結合應用系統的軟件架構、應用風險和威脅列表，進行應用系統安全架構分析，制定評估、修復、加固計劃；通過代碼審查工具結合應用系統特點，制定審查規則，針對應用系統生命周期中不同角色（例如開發人員、測試人員、安全審計人員）使用的工具制作自定義的配置文件來進行分析、跟蹤并評估修復結果；把漏洞掃描、模糊性測試（fuzzing）、風險驅動的代碼測試、攻擊模型的應用、代碼覆蓋率分析等各種安全性測試與軟件工程的標準質量保證（QA）流程、軟件發布流程、應用上線流程進行深度融合，并將安全性測試的結果與軟件缺陷進行關聯和統一的管理。

• 應用安全部署和運行：應用安全部署和運行覆蓋了傳統的網絡安全和應用系統運維組織的各項工作，其中包括通過安全應急響應中心（SRC）面向安全社區和用戶收集應用系統的漏洞、安全事件、安全威脅；定期展開滲透測試與紅藍對抗，從應用系統的外部視角和攻擊者視角獲取應用系統在運行階段的安全漏洞、安全事件和安全威脅；使用安全基礎設施，對應用系統及其所在的計算環境進行監控，建立應用系統安全部署的架構指南和配置指南；建立應用系統和計算環境各個層面的基線（包括靜態的配置，也包括動態的指標），然后進行有效的監控，并對安全事件和異常進行及時響應和處置；在配置管理、事件管理、問題管理等關鍵的流程中充分考慮安全相關的因素，把安全配置、系統補丁、應用升級、應急響應等安全工作與運行維護體系（如，ITIL）進行深度融合。

回答所涉及的環境：聯想天逸510S、Windows 10。