2020BCS-北京網絡安全大會：從漏洞視角看敏捷安全 從漏洞視角看敏捷安全.pdf

1、從漏洞視角看敏捷安全從漏洞視角看敏捷安全 個人簡介 武鑫 奇 安 信 網 絡 安 全 部 產 品 安 全 負 責 人 、 QA X S RC 負 責 人 ID：aerfa 5年安全攻防經驗，網絡尖刀z小隊成員 VSRC2016年第二季度“安全專家”、HCSRC總排行榜第一 RSAC主題分享萬人云峰會演講嘉賓、e安在線金牌講師 微信公眾號作者：我的安全視界觀 擅長從攻防視角發現并閉環安全隱患，結合甲、乙方工作 經驗進行企業安全建設、SDL、DevSecOps建設與運營， 對外輸出四十余篇原創文章 敏捷安全關鍵 文化 流程 技術 文化：開發運維安全，責任共擔 專項工作組 產品安全系統運維產線BP

2、研發委員會安全委員會 產品自身的安全與研發流程中的各個環節、每個人都息息相關，筑建產品的安全是每個人的責任。 專項工作組：建立開發、運維、安全虛擬工作組，明確工作目標 與工作職責 部門BP制度：建立部門安全接口人，負責上傳與下達消息、在本 部門落地相關安全要求 安全內部分工：在安全團隊內部設置不同方向以對應開發安全各 環節的安全活動，包括但不僅限于主機安全、安全設計、白盒測 試、自動化安全測試、SRC運營等 流程：安全左移，層層主動檢測 移植“縱深防御”思想到軟件開發流程中，在推動安全“左移”的同時加強各環節安全活動的運營，將層層發現的 潛在安全風險與漏洞聚合處置。 計劃 編碼 測試 預發 布

3、 發布 防護 檢測 響應 預測 優化 漏洞發現漏洞驗證漏洞修復 漏洞復盤 漏洞公布 驗證漏洞，漏洞修復 完成之后需要進行有 效性驗證和補丁安全 性驗證 （推動）漏洞責任人進 行漏洞修復，在必要情 況下出臨時有效的防護 方案 分析原因、防護盲點， 向“左”反饋 技術：構建工具鏈，發現漏洞 Plan 安全培訓 安全需求 安全設計 計劃 安全編碼 IDE插件 安全組件 編碼 三方組件 安全測試 容器安全 測試 模糊測試 集成測試 混沌工程 預發布 上線決策 軟件簽名 修復計劃 發布 CreateVerify Preprod uctionReleasePrevent 簽名驗證 縱深防御 完整性檢查 防護 DetectRespond 安全編排 威脅狩獵 溯源取證 響應 0 PredictAdapt 方案調整 流程優化 運營反饋 優化 主機漏掃 Web漏掃 滲透測試 檢測 AVC 威脅情報 安全預警