《滴滴SDL体系建设.pdf》由会员分享,可在线阅读,更多相关《滴滴SDL体系建设.pdf(15页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、滴滴SDL体系建设范世强2020.12.17-滴滴SDL从0-1建设历程目录滴滴SDL建设历程概览02个人介绍01滴滴SDL建设历程详解03滴滴SDL现在与未来0410余年安全从业经历:国舜科技-安全服务CNCERT-渗透测试阿里云-云产品安全滴滴出行-SDL负责人2017年加入滴滴,参与了整个滴滴SDL从0-1的建设过程。01个人介绍02滴滴SDL建设历程概览01 滴滴SDL建设历程概览开发生命周期滴滴SDL 2017安全开发技术咨询设计方案评估提供安全开发规范黑盒扫描三方组件扫描代码安全评估SRC漏洞运营资产库建设SDL:SecurityDevelopment Lifecycle 安全开发
2、生命周期需求设计开发准入上线运营测试线上安全开发培训滴滴SDL 2018滴滴SDL 2019滴滴SDL 2020自研代码扫描提供安全SDK商用代码扫描黑盒扫描安全评估平台化代码审计手册漏洞月报安全评估自动化自研代码扫描漏洞月报自动化03滴滴SDL建设历程详解01 滴滴SDL 2017背景:研发自由上线,SDL无感知;SRC安全漏洞多。系统上线触发卡点安全评估发布上线资产梳理尚未覆盖绕过卡点线上域名线 上 IP 代码仓库域名申请代码准入采购软件.重点建设方向:建立流程卡点制定上线规范正向覆盖反向覆盖02 滴滴SDL 2018背景:各项工作通过人肉开展、自动化程度低;过程依赖邮件、钉钉等方式,知识
3、不能沉淀、各项工作无流程闭环。重点建设方向:SDL一站式工作平台上线-数据沉淀、流程线上闭环-建设漏洞知识库及方案库自研黑盒与测试环境打通-多渠道流量采集进行扫描商用白盒与部署系统打通-自研检测规则三方组件检测上线-打通构建平台拉取组件依赖03 滴滴SDL 2019背景:安全评估数量巨大,人效明显不足。重点建设方向:安全评估自动化-将各个场景的风险提炼成规则引擎自研白盒扫描工具-基于图搜索技术重新制定开发规范项目信息输入(反复沟通)按要求设计、实现提交代码及测试环境研发人员SDL安全工程师输出安全要求、方案人工评估流程图输出review结果整改、上线业务分析威胁建模人工代码审计关键信息输入按要
4、求设计、实现提交代码研发人员SDL平台输出安全要求、安全方案自动化评估流程图输出基线review结果整改、上线规则引擎自研代码检测引擎04 滴滴SDL 2020背景:线上漏洞下降,以逻辑漏洞为主;工具成熟度低、流程体验不足;研发安全意识仍有较大提升空间。白盒+基线左移研发安全教育安全SDK上线指标大盘 目的:提升覆盖、降低后期修复成本 方法: 自研白盒在CI/CD流水线中左移至构建阶段; 开发/测试阶段自助检测/修复; 目的:提升研发安全编码 方法: 将安全开发录制成系列短视频; 短视频按需组成课程包,推送给新研发; 将短视频形式嵌入知识库; 目的:降低研发修复成本 方法: 常用安全功能及漏洞
5、修复标准化 提供安全SDK给研发使用 目的:提升运营效率 方法: 将覆盖率、检出率修复率、漏洞分布、扫描时长、NPS 等各项指标自动化计算 在SDL平台提供指标大盘05 关于如何做好SDL我的几个观点 一开始不要研究多么牛逼的技术和工具,先把覆盖率搞上去。 做好资产建设,资产不清楚是很多问题的根源。 工具不在多、技术不需要多牛,对标问题是关键。 建立有效的指标评价体系,保证运营的有效性。 做好漏洞和事件的持续复盘、改进,发生事件不一定是坏事。 技术栈的复杂度、代码来源的多样性、互联网业务高频迭代给SDL带来了极大的挑战,把漏洞不是唯一的手段,也要多依赖安全培训、网络隔离、内外部蓝军、白帽子等其他手段。04滴滴SDL的现在与未来DEVGitlab编译构建产品&组件库代码准入代码部署安全评估白盒扫描拉取代码提供产品包提供依赖的组件线上运行黑盒扫描QA采集预发流量通知扫描引擎线下测试黑盒扫描线下测试环境agent流量采集接入层转发黑盒扫描请求日志组件检测提供组件依赖信息打包通知安全评估白盒扫描安全培训研发人员信息OPS组件检测采集组件信息02 滴滴SDL自动化能力部署03 滴滴SDL的未来降发生:逻辑漏洞检测自动化工具链+资产库打通安全感:Devsecops体系建设赋能研发提升效率体验招贤纳士:欢迎对SDL有兴趣的同学加入我们,共建滴滴SDL微信:fsqsec