楊國梁-從安全意識構建到應用安全落地（24頁）.pdf

《楊國梁-從安全意識構建到應用安全落地（24頁）.pdf》由會員分享，可在線閱讀，更多相關《楊國梁-從安全意識構建到應用安全落地（24頁）.pdf（24頁珍藏版）》請在三個皮匠報告上搜索。

1、從安全意識構建到應用安全落地楊國梁楊國梁高級安全架構師高級安全架構師新思科技軟件質量與安全部門新思科技軟件質量與安全部門2021年年5月月14日日 2021 Synopsys,Inc.2Synopsys Confidential Information對比N款工具擇其一使用需要解決某類問題或困難沒毛病不叫事甲方乙方ProductSellingSolutionSellingAwarenesseducation合理必要效 2021 Synopsys,Inc.3Synopsys Confidential Information必要 2021 Synopsys,Inc.4Synopsys Confid

2、ential Information 2021 Synopsys,Inc.5Synopsys Confidential Information指導性模型Prescriptive Models Prescriptive models describe what you should do.SAFECodeSAMMSDLTouchpoints Every firm has a methodology they follow(often a hybrid).You need an SSDL.描述性模型Descriptive Models Descriptive models describe wha

3、t is actually happening.The BSIMM is a descriptive model that can be used to measure any number of prescriptive SSDLs.2021 Synopsys,Inc.6Synopsys Confidential InformationBSIMM觀察、評估和描述企業的觀察、評估和描述企業的SSI真實的狀態真實的狀態數百家企業的真實實踐，基于科學的觀點為企業的軟件安全方案提供指導參考定期評估您的軟件安全方案免費及開放的標準，廣泛適用于各行業，可以評估任一軟件安全方案 2021 Synopsys

4、,Inc.7Synopsys Confidential Information項目產品線項目產品線安全高管軟件安全部（SSG）編碼人員架構設計人員安全測試培訓制定/執行流程制定管理供應商控制應急響應。Satellite項目產品線SatelliteSatelliteSatellite開發人員測試人員架構師安全人員Gartner:Security Champion 2021 Synopsys,Inc.8Synopsys Confidential Information 2021 Synopsys,Inc.9Synopsys Confidential InformationBSIMM9更新 新增加三

5、個安全活動：SE3.5:0對容器和虛擬化環境使用編排功能對容器和虛擬化環境使用編排功能 SE3.6:0 通過運營物料清單來增強應用庫存盤通過運營物料清單來增強應用庫存盤點點 SE3.7:0確保具備云安全基礎能力確保具備云安全基礎能力 ISV/IOT/Cloud 公司觀測到的安全活動開始趨同，表明云架構體系需要類似的軟件安全方案。云安全相關的活動接受度極高，云端軟件安全正在成為主流。SE3.5 5,122,BSIMM10,22,130,BSIMM11 SE3.6 3,122,BSIMM10,12,130,BSIMM11 SE3.7 9,122,BSIMM10,36,130,BSIMM11 SE3

6、.7 SE2.6 加入新行業-零售。116 activities 2021 Synopsys,Inc.10Synopsys Confidential InformationBSIMM10更新 新增加三個安全活動：SM3.4:0 集成軟件定義生命周期治理集成軟件定義生命周期治理 AM3.3:0 監控自動資產創建活動監控自動資產創建活動 CMVM3.5:0 自動驗證運營基礎架構的安全性自動驗證運營基礎架構的安全性 改變兩項安全活動：T1.6 創建并使用與企業具體歷史相關的材料 T 1.6:26 T 2.8:28 SR2.3 為技術棧制定標準 SR2.3:23SR3.4:24 DevOps對軟件安全

7、計劃的影響 新興的工程導向的安全工作的浪潮 治理導向（自上而下）工程導向（自下而上）119 activities 2021 Synopsys,Inc.11Synopsys Confidential InformationBSIMM11更新 新增加兩個安全活動：ST3.6:0 自動實施事件驅動的安全性測試自動實施事件驅動的安全性測試 CMVM3.6:0發布可部署工件的風險數據發布可部署工件的風險數據 改動四個安全活動：T2.6 在入職培訓中加入安全方面的內容 T2.6:28 T1.8:41 CR2.5 指定工具輔導人員變為 CR1.7 CR2.5:39 CR1.7:50 SE3.4 采用應用容器

8、變為 SE2.5 SE3.4:14 SE2.5:31 SE3.7 確保具備云安全基礎變為 SE2.6。迄今為止，沒有任何活動從 3 級調整至 1 級，但我們看到近期增加的云和 DevOps 相關活動的觀察值顯著增加。過去3年中增加了8項新活動，反映了DevSecOps的增長趨勢 活動趨勢 管理即代碼 持續缺陷發現 連續活動 Shift-left to“Shift-everywhere”121 activities 2021 Synopsys,Inc.12Synopsys Confidential Information 2021 Synopsys,Inc.13Synopsys Confiden

9、tial Information 2021 Synopsys,Inc.14Synopsys Confidential Information 2021 Synopsys,Inc.15Synopsys Confidential Information 2021 Synopsys,Inc.16Synopsys Confidential Information合理 2021 Synopsys,Inc.17Synopsys Confidential InformationCoverityCoverity服務端服務端merge誤報或誤報或忽略忽略代碼庫代碼庫Git提交代碼提交代碼問題確認問題確認修復提交

10、修復提交全量掃描全量掃描獲得掃描結果獲得掃描結果CoverityCoverity每周掃描每周掃描一周內修復一周內修復制品庫制品庫測試測試關鍵節點版關鍵節點版本發布本發布整機構建流水線整機構建流水線提測提測殄撕角蹄殄撕角蹄鯗歜鯗歜SECoverity部署方案（短期6-12個月）2021 Synopsys,Inc.18Synopsys Confidential Information殄撕角蹄殄撕角蹄代碼庫代碼庫GitGit制品庫制品庫測試測試CoverityCoverity服務端服務端關鍵節點版關鍵節點版本發布本發布CoverityCoverity提交時掃描提交時掃描整機代碼入庫門禁系統整機代碼入

11、庫門禁系統整機構建流水線整機構建流水線merge提測提測Coverity部署方案（中長期2-3年）忽略忽略鯗歜鯗歜SECoverityCoverity掃描掃描代碼提交時掃描代碼提交時掃描模塊構建模塊構建區分語言區分語言增量分析增量分析掃描問題掃描問題立即修復立即修復快速獲得掃描快速獲得掃描結果結果merge超期不解阻塞提交超期不解阻塞提交提交代碼提交代碼問題確認問題確認修復提交修復提交Coverity Coverity 每周掃描每周掃描CoverityCoverity掃描掃描每周掃描每周掃描一周內修復一周內修復merge超期不解阻塞流水線超期不解阻塞流水線區分語言區分語言全量分析全量分析獲得掃

12、描結果獲得掃描結果問題確認修復問題確認修復問題確認修復問題確認修復 2021 Synopsys,Inc.19Synopsys Confidential Information基于流程基于險 2021 Synopsys,Inc.21 2021 Synopsys,Inc.21Synopsys Confidential InformationPolicy/Security/Compliance As Code專用的應用安全pipeline，跟開發生產pipeline并列的。自動基于代碼改動量的大小，風險分數，公司安全策略來運行相應的安全工具幫助安全團隊在整個組織范圍內對每個應用自動執行安全流程和策略

13、開發團隊可以在開發過程中看到經過優先級排序/過濾的分析結果，加快開發速度。2021 Synopsys,Inc.22Synopsys Confidential InformationDeveloperContinuous build-Dev PipelineIntelligent Orchestration ServicePolicyPipelineWorkflowCI/CDServerAnalyticsCoderepoBinaryrepoIO(With SNPS Tools)Deployment ModelSeparate from the Development PipelineOut of

14、 band activitiesSecurity ReportingRealtime FeedbackSyncCoverityBlack DuckSeekerTinfoil3rdParty AST ToolsRight ToolsRight TimeRight DepthRight ResourceRuns only tools that meet the policySync/Async 2021 Synopsys,Inc.23Synopsys Confidential Information效 2021 Synopsys,Inc.24Synopsys Confidential Inform

15、ation 2021 Synopsys,Inc.25Synopsys Confidential InformationThe recognized leader in end-to-end application securitySynopsys is the only vendor recognized as a leader in both SAST and SCAForrester WaveStatic Application Security TestingForrester WaveSoftware Composition AnalysisGartner Magic QuadrantApplication Security Testing