中泰证券开发安全体系规划及实践

朱继建 推进开发安全的背景 1 目录 安全体系规划 2 CONTENTS D e v S e c O p s实 践 3 01推进开发安全的背景 公开披露的漏洞数据 严峻的网络安全形势 监管愈发重视 安全左移的众多挑战 02安全规划 03 DevSecOps探索实践 DevSecOps探索实践 1.团队及合作2.安全工具链3.平台支撑4.合理的安全门限5.持续的安全运营 团队及合作 开发测试及运维 上层支持 能力提升 项目管理人员 模式变革支持 针对不同角色培训 安全人员 跨部门协作支持 跨职能虚拟团队 项目及费用支持 内部实践/案例分享 安全工具链及措施 需求与设计 安全工具链及措施 安全工具链及措施 安全工具链及措施 静态应用安全测试SAST 安全工具链及措施 G O P S全 球 运 维 大 会2 0 2 3 ·上 海 站 安全工具链及措施 需求与设计 G O P S全 球 运 维 大 会2 0 2 3 ·上 海 站 安全工具链及措施 G O P S全 球 运 维 大 会2 0 2 3 ·上 海 站 安全工具链及措施 G O P S全 球 运 维 大 会2 0 2 3 ·上 海 站 安全工具链及措施 需求与设计 •漏洞扫描、基线检测、安全加固（1）通过对生产环境服务器操作系统、虚拟机操作系统、中间件、数据库进行漏洞 安全检测，降低因高中危漏洞被攻击者利用的风险；并对扫描发现的漏洞进行加固（2）通过基线扫描，检查生产环境服务器操作系统、虚拟机操作系统、中间件、数据库是否存在不安全配置隐患；并对扫描发现的不安全配置进行加固 •人工安全测试针对存在较高安全隐患、重要信息系统，在完成前期各项测试的基础上，开展补充安 全测试 平台支撑 开发平台支撑 G O P S全 球 运 维 大 会2 0 2 3 ·上 海 站 合理的安全质量门限 设置安全门限 黑灰名单 合理设置指标 安全编码 制定并落地禁止和不推荐使用的开发框架、函数列表、危险的第三方组件和库等黑灰名单，防止应用程序先天不足 制定安全编码规范，并通过安全检测工具落地相关要求，保障编码安全质量 将SAST、DAST、IAST、SCA等安全扫描、测试集成至CI/CD流程中，设置安全门禁 开发流程的各个阶段设置合理的安全门限指标并严格执行安全质量门限卡点 持续的安全运营 收益和价值 通过了中国信通院开展的《研发运营一体化（DevOps）能力成熟度模型》安全及风险管理（DevSecOps标准）全域安全能力（安全开发、安全交付及运营）的评估。 协作 成本 标准 效率 通过安全工具、策略、门限的统一，结合各类标准规范的配套，实现安全开发过程标准化 通过各团队的高效协同，提升整体安全能力，形成安全人人有责的意识 安全左移，尽早发现安全漏洞，显著减少修复的时间和人力成本 安全能力与工具被集成到开发流水线，实现安全能力的自动化调度 开放运维联盟高效运维社区DevOps时代 荣誉出品