未知与已知，如何打好研发安全持久战-周雨阳_腾讯

腾讯PCG技术安全团队：未知与已知，如何打好研发安全的持久战？

第1部分 背景介绍

• 挑战：存量增量业务复杂度高，现网域名多，运营中服务模块多，涵盖社交、视频、信息流服务、内容平台、腾讯新闻、阅文等，新成员和新业务形态纳管难度大，安全水位高低不齐。
• 困境：已知风险与未知风险并存，如何有效管控。

第2部分 救火

• 业务合并带来的未知风险：存量业务安全水位高低不齐，技术栈与基础设施繁多，存量严重风险多，EDR告警多，面临命令注入、文件上传头部风险等已知风险，以及未知风险和解决手段。
• 分析与运营工具：使用资产梳理工具、Web应用基础资产信息工具、拓展资产信息工具、终端应用包名工具、工具链扫描、Web漏洞扫描系统、高危服务扫描系统、APP安全扫描防护WAF、定义运营指标等。
• 运营策略：上线前后黑盒扫描+线上防护，保证覆盖，包括GR评审、发布至预发布环境提交人工评审、发布对外WAF防护例行扫描等。
• 小结：通过上线前后黑盒扫描+线上防护，显著减少严重风险&EDR告警，形成安全运营框架V1.0。

第3部分 治理

• 背景：全面收敛常见应用安全风险，存量技术栈与基础设施繁多，增量业务孵化多，常见Web应用安全漏洞多成为主要已知安全风险，外部报告漏洞数仍偏高。
• 分析与运营：
  • SAST工具增强：建设工具链与策略，清存量，包括应用漏洞白盒扫描、代码安全规范扫描、镜像制品扫描，默认覆盖内网全部仓库，支持主动调用外部引擎。
  • 编码阶段安全管控：针对常见应用漏洞形成标准化安全开发套件，覆盖11类常见应用安全风险，如参数校验、数据输出脱敏、SQL查询安全等。
  • 未雨绸缪：为每个业务提供“安全体检报告”，梳理业务风险清单，结合OWASP TOP10历史漏洞工单复盘。
  • 多维度观测指标：结合SRE理念，确保安全系统可靠性，选取观测指标（SLI）并签订SLA。
• 小结：通过编码、构建到发布全流程收敛应用风险，形成安全运营框架V2.0，内部发现风险比显著提升，外部报告量半年下降比显著。

第4部分 探索深水区

• 背景：常见应用安全漏洞逐步收敛，但未知风险成为主要矛盾，包括越权漏洞、第三方组件0/N-Day应用密钥盗用等。
• 分析与运营：
  • 案例一：越权漏洞：高发，威胁企业数据安全，业界暂无普适方案。通过自动化测试新思路、架构安全（全程票据+鉴权中心）进行全流程收敛。
  • 案例二：敏感应用密钥：牵动企业安全命脉，通过引入AI+异常调用行为监测，整合流程，层层兜底防止敏感密钥泄露。
• 小结：纵向探索新技术，横向扎实运营体系，减少未知风险带来的“爆炸半径”。

第5部分 总结

• 复盘+数据驱动的研发安全运营框架：参考DevSecOps、安全内建、默认安全等理念，复盘每个风险，形成评估体系，量化追踪效果。
• 指标与效果：
  • 2018-2019年：通过资产梳理、线上防护，EDR告警数显著减少。
  • 2020-2021年：通过构建阶段SAST管控、编码阶段默认安全，内部提前发现率、流水线安全管控覆盖比显著提升。
  • 未来：精细化运营EDR告警、外部漏洞报告、内部蓝军报告、各类安全情报，工具链运营SLA指标复盘风险、推导措施，将未知转化为已知。
• 发展阶段：救火期（严重风险）、治理期（常见应用漏洞）、纵深期（逻辑漏洞、业界未知风险）。