⭐ 客户驱动是推动开源组件漏洞修复的有效途径：拥有严格漏洞修复标准的大客户，其要求能够侧面帮助公司内部推动产线修复漏洞，避免与业务方在漏洞危害性上产生对抗。

⭐ 借助公司大事件推动安全工作常态化：以冬奥网络安全保障为例，借此机会将SCA扫描结果的修复作为专项任务，能够获得产线的高度配合。此后，该专项可被纳入日常安全测试流程，并形成规范，实现常态化运行。

⭐ 将开源组件漏洞修复定位为公司级要求：这是最理想的推动方式，能够从根本上避免与业务方在证明漏洞危害性上的拉锯战，但实现起来并非易事，需要循序渐进的策略。

aerfa21 2025-09-05 06:06 浙江

在这个问题上，想必很多同业人员都会遇到。其中最理想的就是把修复开源组件漏洞定位为公司级要求，避免陷入与业务方证明漏洞危害性的对抗局面。

然而要推动成为公司标准，也绝非易事，此处我将介绍自己亲身推动的、较为理想的过程 - - 客户驱动或业务驱动。在我们服务的客户里面，有漏洞修复标准非常高的客户，曾要求CVSS≥4.0都需要修复或给出不修的理由。从侧面来看，客户的要求帮我们在内部推动产线修漏洞。

另外还可以借助公司的大事件来推动漏洞修复，又一例子是我们进行冬奥网络安全保障时，要求所有部署到现场的产品都要足够安全。于是我们趁机将SCA的扫描结果修复，安排成为其中一个专项，在大事件面前产线配合的非常好，此后我们就把这个专项纳入到日常安全测试流程中、并写成规范常态化运行。

------------更多内容，请访问-------------

1、SDL 100问

SDL100问：我与SDL的故事

SAST误报太高，如何解决？

SDL需要哪些人参与？

大家都有哪些SDL运营指标？

业务系统是否可以带漏洞上线？

日常的漏洞运营，也应该是SDL团队来做吗？

关于开发安全BP，对开展SDL有哪些帮助？

SDL 87/100问：哪个厂商做SDL咨询服务和建设比较强？

SDL 88/100问：源代码扫描，是做仓库的全量扫描还是增量扫？

2、SDL创新实践

首发！“ 研发安全运营 ” 架构研究与实践

DevSecOps实施关键：研发安全团队

DevSecOps实施关键：研发安全流程

DevSecOps实施关键：研发安全规范

DevSecOps实施关键：研发安全工具

从安全视角，看研发安全

数字化转型下研发安全痛点

一个思考：安全测试驱动产品安全？

3、SDL最初实践

【SDL最初实践】开篇

【SDL最初实践】安全培训

【SDL最初实践】安全需求

【SDL最初实践】安全设计

【SDL最初实践】安全开发

【SDL最初实践】安全测试

【SDL最初实践】安全审核

【SDL最初实践】安全响应

4、安全运营实践

基于实践的安全事件简述

安全事件运营SOP：钓鱼邮件

安全事件运营SOP：网络攻击

安全事件运营SOP：蜜罐告警

安全事件运营SOP：webshell事件

安全事件运营SOP：接收漏洞事件

应急能力提升：实战应急困境与突破

应急能力提升：挖矿权限维持攻击模拟

跳转微信打开