A4--劉振君--數字化時代的DevSecOps安全工程實踐.pdf

《A4--劉振君--數字化時代的DevSecOps安全工程實踐.pdf》由會員分享，可在線閱讀，更多相關《A4--劉振君--數字化時代的DevSecOps安全工程實踐.pdf（30頁珍藏版）》請在三個皮匠報告上搜索。

1、數字化時代的DevSecOps安全工程實踐劉振君華為云計算技術有限公司劉振君華為云計算技術有限公司高級安全測試工程師負責華為云安全測試和安全工程能力工作；構建團隊隱私測試和前端測試能力，熟悉隱私測試、web前后端安全測試，擁有多年安全測試經驗；負責安全工程能力體系構建，倡導通過工程技術驅動安全隱私測試能力全面提升。目錄C O N T E N T S1.議題背景2.安全工程能力總覽3.DevSecOps五層防護網介紹4.落地效果5.未來的展望和思考議題背景01DevSecOps為何產生敏捷迭代DevI&VCICD容器Dev/Ops TeamDevOps安全防護自動化DevSecOpsDevOps

2、Sec應對不確定性響應業務DevSecOps安全威脅嚴重，安全防護滯后Built-in|自動化|一體化DevOps自動化|持續交付|持續監控|跨部門協作更短TTM，開發運維斷裂業務變化快，開發響應滯后Agile Dev（敏捷開發）快速迭代|持續集成|擁抱變化Waterfall Model（瀑布模型）工序化|問題溯源準確|流程清晰分層設計客戶需求明確，確保系統質量DevSecOps=DevOps+SecurityDevOps DevOps工具DevOps 開發團隊和運維團隊組織合并DevOps包含企業文化、團隊協作流程、軟件工程方法和工具鏈？DevSecOps 介紹DevSecOps 是 Dev

3、elopment,Security,and Operations（開發、安全、運維）的縮寫，它結合了開發（Dev）、運維（Ops）和安全（Sec）。DevSecOps 的目標是通過在整個軟件開發生命周期中自動化和集成安全措施，確保安全性成為開發過程中的內在部分，而不是后期的附加考慮。核心理念在 DevSecOps 模式下，安全不是一個獨立的環節，而是整個開發過程的一部分。安全測試和控制被集成到開發、測試和部署的每一個階段中。通過自動化工具和技術，在代碼編寫、構建、測試和部署的每個階段進行安全檢查。自動化工具可以檢測代碼中的漏洞、安全配置問題等。實施持續的安全監控，實時發現和響應潛在的安全問題。

4、通過反饋機制，團隊可以快速修復和優化安全控制措施。推動團隊內的安全意識，使每個開發人員、運維人員都意識到安全的重要性，并能夠主動參與安全實踐。安全融入研發流程自動化安全檢查持續監控和反饋安全文化安全工程能力總覽02DevSecOps 5層安全防護網第一道防線安全設計第二道防線安全編碼第三道防線安全測試第四道防線安全運營第五道防線紅藍演練OPSDEV安全需求識別安全需求分析安全需求設計安全需求評審安全訓戰賦能安全組件防護編碼級防護服務級防護安全文化建設安全工程技術安全能力中臺安全測試活動安全漏洞管理安全運營安全城防圖滲透測試紅藍聯合演練03DevSecOps五層防護網介紹安全設計總體原則：以安全

5、可信規范為基礎，以安全威脅分析為核心，對敏感信息資產進行隱私影響評估，輸出安全的系統設計SecDesign(STRIDE)CloudDevOpsITIT業務場景分析威脅分析及風險評估可信要求定義GAP分析可信規劃/OBP規劃需求管道管理統一安全框架證書管理設計密鑰管理設計認證憑據web設計安全公共設計能力需求識別需求設計需求分析需求評審1、內部安全可信規范、設計規范；2、外部監管規范。1、基于風險和基線庫進行需求設計。1、通過STRIDE分析方法基于業務場景完成威脅分析；2、基于威脅分析識別威脅、脆弱性和風險。1、安全關鍵方案的安全設計須經過安全技術小組評審。安全設計威脅分析識別威脅、脆弱性和

6、風險消減措施識別威脅、脆弱性和風險安全編碼需求開發訓戰賦能訓戰賦能編碼編碼代碼代碼提交提交個人桌個人桌面防護面防護代碼合代碼合入門禁入門禁MR檢視檢視每日構建每日構建流水線流水線流水線安流水線安全慢軌全慢軌開源漏開源漏洞掃描洞掃描迭代測試代碼庫版本版本構建構建研發環境安全活動 安全編碼規范 編碼規范工具：CodeCheck、FindBugs、安全編碼規范 Clean Code 編碼規范工具FindSecBugs、CodeCheck、FossBot 安全掃描與漏洞評估工具：Nexpose、SecureCAT、CodeCheck、Secbinarycheck、API自動化安全測試用例（越權、文件上

7、傳下載等）總體原則：安全編碼技能覆蓋全員，安全框架標準化，提升安全工具攔截率，健全白盒驗證能力，減少非必要的全面排查 編碼規范工具：CodeCheck、FindBugs、服務級防護安全組件防護編碼級防護注入攻擊文件導入導出web越權秘鑰算法敏感信息處理數據流加解密算法會話管理跨站腳本網絡校驗安全組件關鍵能力1.版本流水線自定義門禁包含安全掃描覆蓋范圍2.建立誤屏蔽的糾錯機制工具1.Committer選拔、全員懂安全2.代碼飛檢，評選好代碼和壞代碼人1.構建安全編碼知識庫、安全編碼規范2.安全編碼框架化標準化、組件化文化安全編碼組件&規則覆蓋率測試點覆蓋率安全測試安全作業平臺Req&Design

8、CodeReleaseSAST靜態安全測試DAST動態安全測試IAST交互式安全測試SCA軟件成分分析Fuzz模糊測試滲透測試Production安全訓戰安全知識庫RASP 運行時安全防護Dev低成本、高質量、高效率攔截安全問題，降低問題數量Ops先于客戶預防性感知漏洞，提升漏洞利用成本安全組織安全SOC安全任職安全認證安全開發框架/安全組件庫/安全貨架文化建設工程技術測試活動漏洞管理安全資產安全評估目標作業流TMBT威脅建模安全自動化流水線SASTCodeCheckJiaoTUIASTZhanming IAST安全測試設計TMBT安全基線滲透測試AttackerSCAFossbotSecBi

9、naryCheckFUZZSecRay安全SOC數據安全FumoDSCprism攻擊模式庫DASTSecScanBurpsuite插件DipNetAPITestC-SpiderTest能力中臺能力工具化、自動化、服務化DTA逆向分析MASTChongming（隱私/APP）云腦總體原則：構建安全白盒/合規/滲透專業化測試能力，確保安全送檢達標，服務上線安全運行零事故安全測試用例管理平臺規則管理平臺工具管理平臺安全測試CICDSecGuardSecJiaoTu作業平臺功能樹/測試基線測試規范測試經驗庫通用用例庫測試案例庫安全基線用例資產化整合安全規范、安全基線、經驗庫，實現測試資產的規范化系統化

10、自動化持續構建SAST、DAST、IAST、SCA自動化測試能力通過作業平臺構建IT化作業流程，統一入口一鍵執行資產動態識別因子智能推薦動態感知精準設計智能化基于資產動態識別和測試因子智能推薦實現智能精準設計基于安全知識通過模型訓練實現智能文檔安全資產安全因子智能機器人安全知識智能問答語法樹分析模型訓練代碼倉自動感知安全運營總體原則：基于安全云腦構建威脅檢測和響應的安全運營能力，針對高敏數據異常訪問進行威脅建模，達成分鐘級告警的目標憑據竊取資源訪問敏感信息泄露主體時間事件類型訪問對象結果滲透攻擊安全態勢感知策略響應日志上報風險上報訪問控制監控場景：訪問控制異常行為安全運營威脅檢測建模風險告警詳

11、情(1000+)風險知會紅藍演練關鍵措施詳情紅藍演練典型攻擊路徑實戰演練聯合藍軍實驗室對XX行動階段性治理進行驗收結合外部藍軍行動，定期開展攻防演練安全城防圖建設安全城防圖（風險圖、攻擊圖）內部滲透測試以獲取系統高權限、高敏數據為攻擊目標，月度例行開展滲透測試Workshop針對紅藍演練，滲透測試發現的問題進行復盤、總結總體原則：通過模擬攻擊，檢驗業務防護監測薄弱點，構建平臺部安全城防圖，完善安全防護體系攻擊模式庫內部演練藍軍實驗室現網演練落地效果落地效果04DevSecOps 為軟件開發領域帶來了諸多深遠的益處，其核心在于將安全性自然融入到每一個開發和運維階段。具體而言，DevSecOps 的優勢體現在以下幾個方面：增進開發效率減少安全風險增強用戶信任提升系統安全性加強合規性支持業務創新促進團隊協作優勢落地效果現網安全合規性提升50%+40%+安全能力左移落入流水線安全組件提升開發效率30%+安全融入流程提升團隊協作效率30%+安全0重大問題提升用戶信心未來的展望和思考05未來的展望和思考ZTA云原生安全PACAIDevOpsSec感謝聆聽關注公眾號