奇安信-武鑫-从SDL到DevSecOps的混沌式演进之路

讲师简介 “虎符智库专家，曾兼负责公司内部安全防护、运营和蓝军工作。 网络尖刀Z小队成员，BCS 2020、INSEC WORLD 2020、EISS 2021、DevOpsDays 2022等会议分享嘉宾。擅长从攻防视角进行甲方企业安全建设，在软件开发安全、供应链安全、攻防对抗方面有一定研究。业余时间喜欢思考与总结沉淀，主理个人微信公众号“我的安全视界观”，将安全实践输出成文，并对外分享与交流。 数字化转型下的痛点01 市场对业务的快速交付需求 抢占市场先机，倒逼业务快速集成与交付。 但并不是所有的业务都被要求快速，开发模式逐渐出现差异化。 技术发展带来的多样化 在数字化转型的大背景下，编程技术的发展，出现了新语言代替旧语言的情况。 然而，仍旧会有多种语言共存的局面。 研发基础设施不统一 发布流程及平台可能因为业务不同的发展速度，有着不一样的实现方式及存在。 多重混沌带来的巨大挑战 安全工作是建立在现有流程上的，并不应该单独创建新流程，改变原有的研发体系。 但若是现有流程都没有实现统一，开发安全活动的设计和落地，将找不到抓手，甚至无从下手… 从安全角度看软件开发02 安全漏洞通常是企业的入口 安全漏洞治理早已是行业讨论最多的话题，在国家层面已经对漏洞管理做出明确要求。 仅从国家信息安全漏洞共享平台统计，近十年发现漏洞逾17w个，平均每年有1.7w个漏洞被发现。 在实战攻防演习中，应用系统经常被用于打点，是突破企业边界安全防护的最佳手法之一。 什么是安全漏洞？ 安全漏洞定义：硬件、软件、协议的具体实现或系统安全策略上存在的缺陷。 怎么切入做开发安全？ Capers Jones Applied Software Measurement : Global Analysis of Productivity and Quality 1、85%的缺陷都是在开发人员编码时引入； 2、目前大多缺陷都是在测试阶段发现； 3、缺陷的修复工作越往后成本越大。 开发过程中，安全漏洞的生产源 有时候，还没开始写代码，就已经引入了漏洞； 有时候，写完提交了代码，还是会有漏洞产生。 架构设计缺陷 开发过程中，安全漏洞的治理 开发安全的关键要素03 谈论开发安全时，应该关注什么？ 安全不要新造流程！安全不要新造流程！安全不要新造流程！ DevSecOps实施的关键要素 开发安全的落地需要组织、流程、规范和安全检测工具的支撑。 组织架构 安全流程 安全管理委员会产品安全团队产品安全专员产品安全应急响应小组 产品安全提测作业流程产品安全应急响应流程产品带病上线绿色流程产品紧急安全提测流程 安全工具 安全规范 产品安全提测作业规范安全设计规范编码安全规范网络安全事件管理办法 产品安全管理平台静态代码扫描工具开源组件扫描工具其他安全测试工具 组织架构 安全流程 安全工具 混沌模式下的开发安全解决之道04 一个安全提测工单的生命周期 安全培训赋能 产品安全专员必参加，带动产线其他人参加 联合研发学院做分享，全公司内部进行普及 开发安全运营 一切围绕软件安全质量提升的工作，都属于开发安全运营。包括但不仅限于： Thankyou!