《汪永輝-壹錢包安全開發體系3.0落地實踐-脫敏版(12頁).pdf》由會員分享,可在線閱讀,更多相關《汪永輝-壹錢包安全開發體系3.0落地實踐-脫敏版(12頁).pdf(12頁珍藏版)》請在三個皮匠報告上搜索。
1、汪永輝汪永輝中國平安壹錢包安全架構師壹錢包安全開發體系3.0落地實踐背景1.內嵌工具(非外掛)2.賦能研發(更高效)3.設立關卡(強管控)白盒工具白盒工具誤報多誤報多跨領域溝通成本高跨領域溝通成本高漏洞修復周期長漏洞修復周期長三大痛點三大痛點示意圖1示意圖2示意圖3革新賦能研發,更高效賦能研發,更高效經過學習,研發同學能夠快速掌握安全工具的使用方法,基本不用安全介入。設立關卡,強管控設立關卡,強管控達成共識,明確安全紅線,自動化卡版。內嵌工具,非外掛內嵌工具,非外掛理念轉變,外掛的安全工具服務于安全團隊,而內嵌的工具服務于開發團隊。1 12 23 3融入DevOps文化安全要求安全掃描安全設計
2、安全加固成立DevSecOps虛擬小組,由研發、產品、質量、運維和安全等角色組成,共同建設DevSecOps,推進每一個子任務融入流程平臺。落實非功能性設計線下研討會,明確安全規范。故事在流程平臺中的安全清單里留痕。設計掃描器識別漏洞,并設置安全門禁。驗證移動安全加固;接入數審系統。運行漏洞修復時效的瓶頸在哪里?SAST每晚自動執行源代碼檢測,提測環節卡點。SCA全站升級開源框架組件的周期主要依賴于全量回歸測試的自動化程度與機器資源的冗余度。IAST創建容器時,同步自動化插裝檢測,功能測試環節卡點。MASTAPP安裝包安全檢測,打包環節卡點。DAST常態化實時監測,從業務系統到生產環節中的全部
3、應用系統。驅動全站升級的下一個挑戰通用漏洞主動修復時長(漏洞平均),范圍:通用漏洞主動修復時長(漏洞平均),范圍:RCERCE漏洞(命令執行、遠程執行等)、漏洞(命令執行、遠程執行等)、0day0day、cvss7.0cvss7.0分分以上或廠商發布漏洞定級為高危及以上。以上或廠商發布漏洞定級為高危及以上。1、外網漏洞:=8小時,不扣分;2、內網漏洞:=1星期,不扣分;未完待續計劃計劃構建構建測試測試預發布預發布發布發布配置配置檢測檢測響應響應預測預測自適應自適應DevOps打造一個動態化的控制臺需求分析威脅建模安全編碼規范滲透測試回歸測試RASP安全基線安全監控漏洞應急響應威脅情報態勢感知安
4、全開發組件開源軟件檢測SASTDASTIAST二進制插樁APK加固系統安全加固容器安全加固WAFUEBA安全事件響應業務風控數據情報業務情報統一需求管理工具自動化威脅建模安全設計自動化安全開發框架安全自動化掃描開源軟件檢測CI自動化測試框架ASP自動化掃描統一缺陷管理工具自動化回歸測試APK自動化加固RASP自動化安全防護自動化安全基線掃描資產檢測自動化漏洞自動化監測自動化威脅情報分析業務風控自動化自動化監控用戶行為分析自動化安全事件自動化分析紅藍對抗需求分析平臺研發安全管理平臺安全測試平臺安全加固平臺RASP防護平臺基線掃描平臺安全監控平臺應急響應平臺威脅情報平臺業務安全平臺安全需求智能化分析編碼智能化安全監測安全漏洞智能化挖掘RASP智能化防護智能化安全監控威脅情報分析智能化智能化風控MAST技術革新讓安全響應更加迅速機遇機遇極大地縮短了打補丁的周期挑戰挑戰花樣繁多的容器逃逸runC容器逃逸D DevevS SececO Opsps把容器安全融入CI/CD信息安全人人有責 DevOps強調如何促使團隊之間更具協作性、更高效的關系,也注重讓研發同學更多地控制生產環境。DevSecOps應當更加關注安全意識的宣導,如對釣魚郵件攻擊的識別與防范能力等。代碼IDC數據最后,必須強調的是,讓安全意識流行起來!