企業研發安全DevSecOps流程落地實踐-劉月勝.pdf

《企業研發安全DevSecOps流程落地實踐-劉月勝.pdf》由會員分享，可在線閱讀，更多相關《企業研發安全DevSecOps流程落地實踐-劉月勝.pdf（32頁珍藏版）》請在三個皮匠報告上搜索。

1、安世加安世加安世加安世加安世加安世加 企業研發安全DevSecOps落地實踐小米安全-劉月勝2024年4月安世加安世加安世加安世加安世加安世加 關于我目前就職于小米集團安全部門，主要負責研發安全、以及應用安全自動化能力建設工作。具有10年以上的應用安全建設經驗，曾在媒體行業、教育行業多家公司擔任安全工程師和應用安全負責人職責。安世加安世加安世加安世加安世加安世加 內容介紹03.如何落地devops流程中的安全卡點02.研發安全落地現狀01.研發安全落地的困難04.如何衡量好與壞05.其它安世加安世加安世加安世加安世加安世加 01研發安全落地的困難安世加安世加安世加安世加安世加安世加 研發安全落

2、地的困難a.沒人沒錢b.無自動化檢測流程c.依賴旁路檢測d.覆蓋率不足e.業務優先安世加安世加安世加安世加安世加安世加 02研發安全落地現狀安世加安世加安世加安世加安世加安世加 研發安全落地現狀-業務情況多語言、多框架業務情況復雜多CI系統并行，對于速度和穩定性要求高CI多樣化流水線發布頻繁，可靠性敏捷開發模式安世加安世加安世加安世加安世加安世加 研發安全落地-研發安全現狀無需項目接入，提交代碼即檢測自檢無需工單創建，自行通過平臺查看漏洞和修復方案自查自行修復，并重新提交完成復測自修漏洞阻斷每周5w+次代碼安全掃描接入項目超過1w+研發安全卡點平臺異步掃描平臺人工審計安世加安世加安世加安世加安

3、世加安世加 03如何落地devops流程中的安全卡點安世加安世加安世加安世加安世加安世加卡點的風險與收益？在運轉流暢的敏捷開發流程中增加漏洞攔截環節從來都不是件容易的事情如果搞砸了安全被質疑研發負反饋質量故障安全ROI提升掃描覆蓋度提升安全水位提升如果搞好了安世加安世加安世加安世加安世加安世加如何落地安全卡點？設計原則技術方案產品方案安世加安世加安世加安世加安世加安世加 設計原則強制卡點不依賴業務配置對于有漏洞的流水線進行阻斷快速檢測 1分鐘內完成檢測熔斷機制 不能因為掃描故障影響發布過程特殊跳過特殊情況具備主動跳過能力閉環管控即使跳過也需要修復安世加安世加安世加安世加安世加安世加 技術方案-

4、概述SCA檢測越引擎硬編碼檢測引擎Semgrep漏洞引擎Agent端審批模塊白名單模塊規則模塊漏洞模塊審核模塊通知模塊CI平臺Gitlab平臺技術要求輕量快速準確 1分鐘內完成檢測。時間太長嚴重影響CI體驗，業務無法接受，會導致DevOps流程降速，影響發布?？焖贆z測 準確性決定方案是否可行。誤報率太高會導致卡點漏洞太多，研發修復困難，嚴重影響整體的產品體驗和檢出效果。準確性 不依賴過重的安全檢測產品，穩定性、可用性都很高，確保檢測過程不會出現質量問題。輕量檢測安世加安世加安世加安世加安世加安世加 技術方案-方案選型 優化單項目掃描速度，90%以上在1分鐘內完成掃描 分布式掃描，支撐全集團掃描

5、任務 專門維護漏洞庫，確保漏洞都是必修漏洞，目前只維護十幾個卡點漏洞組件自研SCA 開源項目 檢測速度快 分布式掃描 支持多種匹配模式SemGrep引擎組件類權限類漏洞類基線類檢測log4j,fastjson等20+安全組件漏洞檢測未鑒權、權限繞過、jwt等鑒權組件的安全風險明文密碼、配置不當、敏感信息SQL注入、XXE、RCE、XSS、表達式注入等安全漏洞安世加安世加安世加安世加安世加安世加 技術方案-semgrep是啥Github:https:/ 技術方案-semgrep對比安世加安世加安世加安世加安世加安世加 技術方案-Agent機制 均在CI平臺接入Agent，不用業務自行配置項目檢測

6、，提交代碼即接入，實現完整覆蓋 針對基于Gitlab CI的項目，放棄.gitlab-ci.yaml配置接入的方法，直接在gitlab runner上接入，既實現了強制接入，又降低了業務接入成本強制檢測 Agent高度容錯，支持多平臺，1分鐘未完成檢測，則自動跳過，不影響業務超時跳過通過暴力摘除測試，即使掃描平臺掛掉，不影響業務安世加安世加安世加安世加安世加安世加技術方案-檢測左移 普通代碼提交會觸發webhook發起檢測機制，檢測結果會通知研發，提醒盡快完成修復，以免上線前被卡點。更早的通知研發會增加盡快修復的可能性提交即檢測 項目編譯階段，檢出安全漏洞會被終止編譯，并同時給與通知，需要盡快

7、修復漏洞，重新發起編譯操作，保障上線業務安全編譯即卡點安世加安世加安世加安世加安世加安世加如何落地平臺作為支撐點減少誤報對研發的影響特殊情況處理機制完善的通知機制完善的運營機制流程標準化其他層面領導支持安全基線如何落地？在保證安全底線前提下，盡可能站在研發的角度去評估當前流程是否會造成業務發布流程差異變化過大、業務吐槽點過多，從而引起檢測卡點無法落地，最終反噬初衷新增卡點漏洞流程需要標準化，給與一定的卡點緩沖期，并積極協助進行特殊情況處理完善的產品流程+上層共識+安全基線=落地安世加安世加安世加安世加安世加安世加 支撐平臺-簡述漏洞管理漏洞忽略緊急上線邀請協助漏洞模塊項目白名單規則白名單人員白

8、名單部門白名單其它維度白名單白名單模塊審批通過/駁回自動創建工單審批模塊誤報管理緊急上線管理漏洞審核模塊結果通知卡點通知審核通知誤報通知通知模塊安世加安世加安世加安世加安世加安世加 支撐平臺-白名單模塊 規則白名單，可以將白名單細化到每條規則針對某個項目是否檢測。在不斷增加規則過程中，通過調整規則檢測時間，實現先觀察，后通知，再卡點的目的，保障研發有一定的修復周期，確保最終漏洞卡點落地。規則白名單 項目白名單，可以通過設定項目不阻斷、不掃描。在前期灰度，可以采用項目白名單逐步分批灰度，逐步完成項目的接入卡點，避免一刀切，造成不好的用戶體驗，從然引起相反的結果。項目白名單安世加安世加安世加安世加

9、安世加安世加 支撐平臺-通知模塊 通過多節點、多維度的通知方式，讓研發同事更在的意識到代碼存在漏洞，后續會被卡點，提前規避此問題，可以大量減少因為漏洞發布被卡的風險。通知的價值掃描通知漏洞通知卡點通知誤報審批通知緊急上線通知郵件通知日志通知IM通知多通知形式全通知鏈路安世加安世加安世加安世加安世加安世加 支撐平臺-審批、審核模塊 緊急上線審批，對于特殊情況(比如非嚴重漏洞，著急上線)的問題，可使用緊急上線審批，由領導審批后，完成發布。同時跳過未修復的漏洞自動創建工單，走工單修復流程。緊急上線審批 誤報反饋功能，給與研發主動反饋誤報的功能。誤報通過安全運營人員審核后，自動跳過卡點，完成發布。此功

10、能降低了誤報對業務流程的影響，也提升了研發人員對于安全的理解。誤報反饋主動誤報反饋率1%緊急上線使用率率0.5%安世加安世加安世加安世加安世加安世加 落地運營-精細化運營規則添加高度優化規則多輪測試驗證觀察模式只檢測，不露出n周觀察可用性通知模式漏洞只通知，不卡點給與n周修復期卡點模式發公告，開啟卡點運營模式誤報審核緊急上線評估運營群支持規則編寫，反復測試上線引擎端，不露出評估實際誤報情況打開只檢測，不卡點配置開啟漏洞卡點能力，規則上線完成審核誤報，支持群處理研發遇到的問題正常業務發布，如不存在卡點漏洞，則不受影響收到通知需要在指定卡點日期前完成漏洞修復工作未修復，無法編譯項目已修復，不受影響

11、修復漏洞，或反饋誤報安全視角研發視角安世加安世加安世加安世加安世加安世加 落地抓手上層共識研發基線安世加安世加安世加安世加安世加安世加 04如何衡量好與壞安世加安世加安世加安世加安世加安世加 I.主動誤報率II.緊急上線使用率III.掃描超時率IV.規則成熟度衡量指標安世加安世加安世加安世加安世加安世加 05其它安世加安世加安世加安世加安世加安世加 I.用安全SDK簡化修復方案II.基于數據流的掃描器發現漏報，做補充其它安世加安世加安世加安世加安世加安世加 感謝聆聽安世加安世加安世加安世加安世加安世加關注我們安世加 專注于網絡安全行業，通過互聯網平臺、線上線下沙龍、峰會、人才招聘等多種形式，致力于創建亞太地區最好的甲乙雙方交流學習的平臺，培養安全人才，提升行業的整體素質，助推安全生態圈的健康發展。安世加安世加安世加安世加安世加安世加