申万宏源在交付安全的探索和实践 - 吴柯

姓名：吴柯 个人简介 吴 柯 质量效能部研发工程师。现负责申万宏源证券DevOps一体化平台研发。 交付安全的提出背景 目录 收益和后续展望 交 付 安 全 的 提 出 背 景 交付安全的提出背景 交付安全的提出背景 l大多数安全问题由应用程序引起 l随着开源软件的引入，安全问题出现的频率呈现指数级上升 交付安全的提出背景 申 万 宏 源 交 付 安 全 的 探 索 与实 践 此处添加详细文本描述，建议与标题相关并符合整体语言风格此处添加详细文本此处添加详细文本描述 申 万 宏 源 交 付 安 全 的 探 索 与 实 践 顶层制度和流程设计 申 万 宏 源 交 付 安 全 的 探 索 与 实 践 通过问卷方式,对业务需求设计、技术架构、业务场景等建立安全需求,并明确安全设计规范及测试方法。 申 万 宏 源 交 付 安 全 的 探 索 与 实 践 申 万 宏 源 交 付 安 全 的 探 索 与 实 践 申 万 宏 源 交 付 安 全 的 探 索 与 实 践 源码静态扫描对于代码merge会自动触发静态扫描形成代码问题报表。 申 万 宏 源 交 付 安 全 的 探 索 与 实 践 源码安全扫描 申 万 宏 源 交 付 安 全 的 探 索 与 实 践 三方依赖安全扫描 申 万 宏 源 交 付 安 全 的 探 索 与 实 践 三方依赖安全治理-开源治理平台 l研发阶段对非安全组件进行阻断 l建立组件引入清单和台账 申 万 宏 源 交 付 安 全 的 探 索 与 实 践 测试阶段的安全活动 申 万 宏 源 交 付 安 全 的 探 索 与 实 践 申 万 宏 源 交 付 安 全 的 探 索 与 实 践 版本安全扫描 •软件成分分析•版本灰盒扫描•版本黑盒扫描 收 益 与 后 续 展 望 收益与展望 Ø制度落地 Ø通过内置安全到交付流程中,初步实现安全制度落地,基本满足安全三年计划要求 Ø质量提升 Ø安全左移到需求分析、研发、测试阶段,提前暴露问题,并将安全内置到各个环节 Ø建立安全问题台账,通过整合工具链,实现对交付物安全台账记录,及时响应安全事件 收 益 与 展 望 T h a n k s 荣誉出品