《王宝琛-自如SDL建设实践(14页).pdf》由会员分享,可在线阅读,更多相关《王宝琛-自如SDL建设实践(14页).pdf(14页珍藏版)》请在三个皮匠报告上搜索。
1、IAST在在DevSecOps体系中的落地实践体系中的落地实践自如自如 王宝琛王宝琛关于我们自如自如是一家提供高品质居住产品与生活服务的科技公司,成立于2011年10月18日。发展至今,自如已在北京、上海、深圳、杭州、南京、广州、成都、天津、武汉、苏州十座城市布局,为近50万业主、500万自如客提供服务,管理房源超过100万间。自如通过打造涵盖To C和To B的智慧运营、智慧组织、智慧装修、智慧生活服务和智能家居五大板块,逐步实现租住领域全链条的线上化、数据化和智能化的产业互联网能力,日均线上服务调用达4亿次,智能化房源近万间。自如旗下拥有包括自如友家、自如整租、业主直租、自如豪宅、自如寓、
2、自如驿、自如Z-SPACE等租住产品,同时也为社会提供智能家装、保洁、搬家、维修、优品电商等生活服务产品,累计服务订单超3000万。分享大纲甲方甲方DevSecOps安全体系安全体系安全建设痛点与解决思路安全建设痛点与解决思路自如自如IAST落地实践分享落地实践分享什么是DevSecOps体系?什么是DevSecOps体系?人人为安全负责、安全是大家的事 安全团队不再是单纯兜底角色 建立公司人人参与安全文化自如DevSecOps安全体系建设自如DevSecOps体系建设框架图甲方安全落地建设痛点问题安全左移建设面临的主要挑战安全左移建设面临的主要挑战1.话语权低:安全是后台保障部门,业务方感知
3、较少,领导层底线思维2.资源紧张:安全团队需要覆盖整个公司,人员比低、项目数多、领域繁杂3.开发敏捷:DevOps开发模式,项目迭代快、周期短4.意识薄弱:业务方较少有信息安全风险意识自如安全落地建设解决思路安全落地建设解决思路安全落地建设解决思路核心思想:自上而下、逐步左移、工具可用、培训运营 基于业务视角,强调安全重要性:业务安全风控、矩阵安全指标度量、合规风险汇报等 利用有限资源,提升安全覆盖度:工具自动化工具自动化、流程线上化、信息安全BP机制等 塑造安全文化,培养安全习惯性:信息安全公众号、技术学院安全培训、专项活动等什么是IAST测试工具?IAST交互式应用安全测试(Interac
4、tive application security testing)是一个在应用和API中自动化识别和诊断软件漏洞的技术。利用插桩技术收集安全信息,IAST持续地从内部监控你应用中的漏洞,在整个开发生命周期中,IAST通过采集你在开发或测试过程中的函数执行、数据流传输等信息,实时地提供报警。什么是IAST测试工具?SAST、DAST、IAST对比分析对比分析名称名称技术原理技术原理漏洞误报率漏洞误报率项目覆盖率项目覆盖率优劣势总结优劣势总结SAST(静态/白盒源码扫描)源代码检测分析高高优势:覆盖面广、白盒劣势:误报率高、运营成本高DAST(动态/黑盒漏洞扫描)HTTP流量应用层扫描低低优势:
5、漏洞有效检出高劣势:大量payload请求、脏数据多IAST(灰盒/交互式安全测试)被动插桩流量采集+污点跟踪低高诉求诉求(优势):漏洞有效检出率较高、覆盖面广、脏数据少、运营成本低IAST漏洞检测原理分析 首先将采集到的不信任数据放到一个数据池子中,定义为污点池 一个来自污点来源节点的返回值变量,我们认为它是一个污点变量 一个污点变量作为入参流经传播节点,那么该传播节点方法的返回值也被标记为污点变量 如果一个污点变量作为入参最后触达了危险函数的链路,那么我们就判定一个漏洞产生了动态污点分析技术动态污点分析技术IAST可以利用功能测试用例的流量来触发检测,质量和安全测试同时进行、同时进行、互不
6、影响互不影响自如IAST落地实践方案 采用轻量级agent,嵌入自如Omega项目部署发布平台CI/CD流程 上报漏洞信息至自如DevSecOps工作台闭环管理自如IAST在DevSecOps中的流程图IAST甲方落地建设建议与总结 IAST技术可以很好的解决DevSecOps落地的工具困境,满足漏洞检出 率高、误报率低、覆盖面广、CI/CD集成易、业务侵入性低等核心诉求 IAST技术或产品选型需要根据公司自身情况和目标确定,如安全和业 务平衡关系、微服务技术框架、内部部署工具、项目应用体量等维度 甲方推进IAST项目落地需要与运维、测试测试、研发等部门做好沟通协调,以实际效果和数据说明不会影响运维资源、测试作业、研发部署等工作