全生命周期开发安全
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
培训
DeVSecOps
数据化 自动化
数据 共享
S-SDLC
SAST DAST
SecOps
对接安全运 维平台,实 现DevSecOps 技术理念的 完全落地。
通过不断调整,形成适合企业自身的S-SDLC落地方案
谢谢!
杨廷锋 @安恒信息
开发自行确认
SAST工具检测
[核心]功能安全 测试
安全测试确认
SAST工具 检测
组件检测
DAST工具检测
DAST工具 检测
组件检测
缺陷信息 缺陷信息 缺陷信息
发布流程
动态统计
根据统计结果,安排培训计划
安全培训
通用培训
安全设计培训
安全编码培训
安全测试/专项培训
新酒与S-SDLC
工具化自动 化减少投入 数据化方便 分析和共享 关注开发体 验,易接受 数据+流程构 成闭环
需求
·
难接受
部分设计可能过于专 业,普通的需求经理 和开发人员无法驾驭
运行
设计
SDLC
整个过程中产生大量 文档,无法迅速转换 成数据,进入到反馈 环。难以适应快速变 化的业务需求
上线 编码
数据 化低
测试
投入大
从目前的服务来看在 落地过程中需要大量 的人力投入。但是内 容都是重复性工作, 没有时间深入挖掘漏 洞。
… 源代码 主机漏洞 扫描 容器安全 快速扫描 第三方组件 快速扫描 应用扫描 报告聚合
对接工单 系统
漏洞管理
统计分析
新酒与S-SDLC
需求 需求 设计 开发 测试 发布 安全需求 Checklist
确认
安全需求核对
编码
安全设计
与之前的安全设计核对
安全设计确认
确认安全设计确 认表
安全测试确认
安全评审会(架 构、组件)
全生命周期开发安全的旧瓶与新酒
杨廷锋 @安恒信息
传统的S-SDLC
需求 设计 编码 测试 上线 运行
调研
威胁建模
安全编码
设计用例
漏洞扫描
监测
安全需求
安全设计
代码审计
安全测试
基线检查
应急响应
业务/开发团队
运维团队
传统的S-SDLC
目前的S-SDLC服务以 文档为主,难以闭环 具体代码实现问题
难闭环
DevSecOps
DevSecOps
• DevOps经典框架
DevSecOps
• 核心思想: 每个人都对安全负责,将安 全深入到整个软件生命周期。 • 优化沟通交流,注重反馈
需求
设计
编码
测试
上线
维护
DevSecOps
DevSecOps
CA Βιβλιοθήκη Baidueracode的调研结果
新酒与S-SDLC
思考方向 1. 能实现自动化的部分尽可能自动 化 2. 将安全工作整合到开发过程 3. 尝试构建标准化基线 4. 文档数据化 5. 尽可能提高开发人员接受程度和 易用性
新酒与S-SDLC
新酒与S-SDLC
功能需 求列表
安全需求 设计半自 动化生成
安全设 计文档
安全设计列 表/平台同 步
IDE插件
闭环安全 设计
编码提示
SDK
配置
本地 Java 代码扫描
第三方组 件扫描
应用被动 扫描
容器安全 扫描
功能逻辑安 全测试
应用安全 扫描
风险特征
资产 管理
资产风险
源代码扫 描
DeVSecOps
数据化 自动化
数据 共享
S-SDLC
SAST DAST
SecOps
对接安全运 维平台,实 现DevSecOps 技术理念的 完全落地。
通过不断调整,形成适合企业自身的S-SDLC落地方案
谢谢!
杨廷锋 @安恒信息
开发自行确认
SAST工具检测
[核心]功能安全 测试
安全测试确认
SAST工具 检测
组件检测
DAST工具检测
DAST工具 检测
组件检测
缺陷信息 缺陷信息 缺陷信息
发布流程
动态统计
根据统计结果,安排培训计划
安全培训
通用培训
安全设计培训
安全编码培训
安全测试/专项培训
新酒与S-SDLC
工具化自动 化减少投入 数据化方便 分析和共享 关注开发体 验,易接受 数据+流程构 成闭环
需求
·
难接受
部分设计可能过于专 业,普通的需求经理 和开发人员无法驾驭
运行
设计
SDLC
整个过程中产生大量 文档,无法迅速转换 成数据,进入到反馈 环。难以适应快速变 化的业务需求
上线 编码
数据 化低
测试
投入大
从目前的服务来看在 落地过程中需要大量 的人力投入。但是内 容都是重复性工作, 没有时间深入挖掘漏 洞。
… 源代码 主机漏洞 扫描 容器安全 快速扫描 第三方组件 快速扫描 应用扫描 报告聚合
对接工单 系统
漏洞管理
统计分析
新酒与S-SDLC
需求 需求 设计 开发 测试 发布 安全需求 Checklist
确认
安全需求核对
编码
安全设计
与之前的安全设计核对
安全设计确认
确认安全设计确 认表
安全测试确认
安全评审会(架 构、组件)
全生命周期开发安全的旧瓶与新酒
杨廷锋 @安恒信息
传统的S-SDLC
需求 设计 编码 测试 上线 运行
调研
威胁建模
安全编码
设计用例
漏洞扫描
监测
安全需求
安全设计
代码审计
安全测试
基线检查
应急响应
业务/开发团队
运维团队
传统的S-SDLC
目前的S-SDLC服务以 文档为主,难以闭环 具体代码实现问题
难闭环
DevSecOps
DevSecOps
• DevOps经典框架
DevSecOps
• 核心思想: 每个人都对安全负责,将安 全深入到整个软件生命周期。 • 优化沟通交流,注重反馈
需求
设计
编码
测试
上线
维护
DevSecOps
DevSecOps
CA Βιβλιοθήκη Baidueracode的调研结果
新酒与S-SDLC
思考方向 1. 能实现自动化的部分尽可能自动 化 2. 将安全工作整合到开发过程 3. 尝试构建标准化基线 4. 文档数据化 5. 尽可能提高开发人员接受程度和 易用性
新酒与S-SDLC
新酒与S-SDLC
功能需 求列表
安全需求 设计半自 动化生成
安全设 计文档
安全设计列 表/平台同 步
IDE插件
闭环安全 设计
编码提示
SDK
配置
本地 Java 代码扫描
第三方组 件扫描
应用被动 扫描
容器安全 扫描
功能逻辑安 全测试
应用安全 扫描
风险特征
资产 管理
资产风险
源代码扫 描