《2020滴滴网络安全峰会报告:滴滴SDL体系建设-范世强1222.pdf》由会员分享,可在线阅读,更多相关《2020滴滴网络安全峰会报告:滴滴SDL体系建设-范世强1222.pdf(15页珍藏版)》请在三个皮匠报告上搜索。
1、滴滴SDL体系建设 范世强 2020.12.17 -滴滴SDL从0-1建设历程 目录 滴滴SDL建设历程概览02 个人介绍01 滴滴SDL建设历程详解03 滴滴SDL现在与未来04 10余年安全从业经历: 国舜科技-安全服务 CNCERT-渗透测试 阿里云-云产品安全 滴滴出行-SDL负责人 2017年加入滴滴,参与了整个滴滴SDL从0-1的建设过程。 个人介绍01 02 滴滴SDL建设历程概览 滴滴SDL建设历程概览01 开发生命周期 滴滴SDL 2017 安全开发技术咨询设计方案评估 提供安全开发规范 黑盒扫描 三方组件扫描 代码安全评估SRC漏洞运营 资产库建设 SDL:Security
2、 Development Lifecycle 安全开发生命周期 需求设计开发准入上线运营测试 线上安全开发培训 滴滴SDL 2018 滴滴SDL 2019 滴滴SDL 2020 自研代码扫描 提供安全SDK 商用代码扫描 黑盒扫描 安全评估平台化 代码审计手册 漏洞月报 安全评估自动化 自研代码扫描 漏洞月报自动化 03 滴滴SDL建设历程详解 滴滴SDL 201701 背景:研发自由上线,SDL无感知;SRC安全漏洞多。 系统上线触发卡点安全评估发布上线资产梳理 尚未覆盖 绕过卡点 线上域名 线上 IP 代码仓库 域名申请 代码准入 采购软件 . 重点建设方向: 建立流程卡点 制定上线规范
3、正向覆盖 反向覆盖 滴滴SDL 201802 背景:各项工作通过人肉开展、自动化程度低;过程依赖邮件、钉钉等方式,知识不能沉淀、各项工作无流程闭环。 重点建设方向: SDL一站式工作平台上线 -数据沉淀、流程线上闭环 -建设漏洞知识库及方案库 自研黑盒与测试环境打通 -多渠道流量采集进行扫描 商用白盒与部署系统打通 -自研检测规则 三方组件检测上线 -打通构建平台拉取组件依赖 滴滴SDL 201903 背景:安全评估数量巨大,人效明显不足。 重点建设方向: 安全评估自动化 -将各个场景的风险提炼成规则引擎 自研白盒扫描工具 -基于图搜索技术 重新制定开发规范 项目信息输入 (反复沟通) 按要求设计、实现 提交代码及 测试环境 研发人员SDL安全工程师 输出安全要求、方案 人工评估流程图 输出review结果整改、上线 业务分析 威胁建模 人工代码 审计 关键信息输入 按要求设计、实现 提交