《刘顺-金融企业SDL建设实践(35页).pdf》由会员分享,可在线阅读,更多相关《刘顺-金融企业SDL建设实践(35页).pdf(35页珍藏版)》请在三个皮匠报告上搜索。
1、刘顺,广发银行研发中心安全专家。10多年网络安全从业经验,曾先后就职于宇通、唯品会、华为等企业。目前就职于广发银行研发中心,在安全规划、安全架构设计、终端安全、应用安全、数据安全与隐私保护等多个领域,具有丰富的管理与实践经验。金融企业SDL建设实践刘顺刘顺 广发银行研发中心广发银行研发中心金融企业应用安全现状SDL落地面临的困难SDL体系建设实践SDL持续演进目 录CONTENTS金融企业应用安全现状监管要求严、行业法规标准多应用安全是入侵企业的重要突破口应用数量多、功能复杂、漏洞层出不穷修复漏洞成本高金融企业应用安全现状解决之道:建立基于软件开发全生命周期的安全管控体系!Security D
2、evelopment Lifecycle金融企业应用安全现状SDL落地面临的困难SDL体系建设实践SDL持续演进目 录CONTENTSSDL落地面临的困难改变现有意识人世间最难的事情莫过于改变所有人的意识与习惯专业人员不足安全专业人员配备不足,无法覆盖所有需求合规条文多合规条文多,无法把所有合规要求有效融入内部管理能力要求高威胁建模、安全编码对需求分析与设计人员、开发人员的能力要求高金融企业应用安全现状SDL落地面临的困难SDL体系建设实践SDL持续演进目 录CONTENTS明确目标、统一信念、获得支持!目标是什么?提升应用安全质量、满足监管合规要求、保障企业经营发展要获得谁的支持?Boss、
3、研发领导为什么SDL是有效的?最佳实践、他山之石为什么SDL是有价值的?成本与收益风险合规SDL体系建设实践|前期准备SDL体系建设实践|微软SDL体系建设制度建设目标流程建设人员能力建设逐步推广安全培训能力考核安全知识库工具能力建设安全平台测试工具安全组件监管合规内生合规合规排查重点互联网应用所有互联网应用重点中后台其他内网应用目标导向提 升 应 用 安 全 质 量、满 足 监 管 合 规 要 求、保 障 企 业 经 营 发 展建设举措p通过制度流程的建设,建立全面的SDL体系,确保研发过程中各项安全举措有章可循、有据可依,确保举措有效落地执行p通过培训、知识库、能力考核举措,从安全职责、安
4、全能力两个方面,建立覆盖产品、开发、测试不同岗位的人才体系,为SDL体系的落地执行提供必要条件p通过平台、组件、测试工具的建设,提供流程化、自动化能力,提升人员的工作效率、降低对人员安全能力的依赖,为研发安全管控体系的有效执行提供支撑效果体现p通过内生合规举措,把重要的监管标准、合规规范中的研发相关要求,转成内部安全基线,在SDLC执行流程中实现这些要求,实现内生合规。p把监管标准、合规规范的原生要求录入安全基线库,借助安全管控平台,可生成合规排查任务。p有节奏逐步推广SDL体系建设实践|建设框架SDL体系建设实践|建设成果需求分析需求设计开发编码测试发布运行安全需求分析安全需求分析【产品经理
5、】安全需求设计编码安全安全测试安全运行安全需求审核【安全BP】资源准备资源准备平台建设安全基线建设安全需求设计【平台自动化】安全编码规范轻量化威胁建模安全框架组件静态扫描人工渗透用例工具隐私合规发布审核漏洞监控应急处置SDL体系建设实践|流程建设安全需求设计安全审核安全编码安全测试上线运行重要节点严格把控流程全覆盖 最小化影响体系管理类软件安全开发管理细则安全基线管理细则安全设计类应用系统安全设计通用规范应用安全客户信息保护设计规范API接口应用安全设计规范安全编码类Java语言安全编码规范PHP语言安全编码规范Python语言安全编码规范JavaScript语言安全编码规范C+/C语言安全编
6、码规范平台安全类Android平台安全开发规范IOS平台安全开发规范安全测试类安全测试管理细则SDL体系建设实践|制度建设SDL体系建设实践|培训考试知识库SDL体系建设实践|传统威胁建模模型复杂专业能力要求高花费时间长Checklist多研发团队不愿意执行Checklist少安全团队担心有风险面临问题SDL体系建设实践|基于业务场景的轻量化威胁建模应用漏洞安全风险应用系统安全设计通用规范应用系统个人金融信息保护安全设计规范法规标准基线来源安全需求安全风险规避等于安全基线安全基线安全基线安全基线安全基线1:1安全风险规避N:1基线属性基线名称与描述基线适用范围对应风险或漏洞基线安全设计安全测试
7、用例对应安全组件安全测试工具对应风险或漏洞等级SDL体系建设实践|基于业务场景的轻量化威胁建模指纹支付安全基线业务场景安全基线库基线基线基线基线基线基线基线基线基线基线基线基线业务场景某某应用指纹支付签约基线基线基线基线合规标准基线基线基线基线属性标签场景视图合规标准标签指纹认证基线基线隐私保护基线基线应用漏洞安全风险应用系统安全设计通用规范应用系统个人金融信息保护安全设计规范法规标准基线来源SDL体系建设实践|基于业务场景的轻量化威胁建模SDL体系建设实践|自动化安全概要设计SDL体系建设实践|基于业务场景的轻量化威胁建模SDL体系建设实践|内生合规外规内规法律法规行业标准监管发文历史问题收
8、集解读内化安全基线应用安全设计规范安全编码规范身份认证类基线会话管理类基线访问控制类基线输入校验类基线SDL体系流程外规转内规、内规转基线,基线融入SDL流程!SDL体系建设实践|统一开发框架集中身份认证统一会话统一权限控制统一过滤会话Token强制预编译统一文件上传登录逻辑绕过找回密码绕过密码复杂度密码存储安全会话长度较短会话有效期风险会话未失效风险垂直越权XSSCSRFSQL注入任意文件上传文件上传XSS文件上传DOS敏感信息记录日志日志脱敏解决的风险统一开发框架安全框架SDL体系建设实践|安全组件应用安全扫描应用安全扫描源码安全扫描源码安全扫描灰盒安全扫描灰盒安全扫描安全基线测试用例安全
9、基线测试用例安全测试安全测试工具链工具链开发阶段SIT阶段需求设计阶段安全平台自动化安全测试用例代码安全扫描工具应用安全黑盒扫描工具IAST灰盒扫描工具人工渗透测试人工渗透测试为每个推广SDL应用配备固定的安全测试人员,针对每单新增需求开展以下安全测试。SDL体系建设实践|安全测试制品库外部仓库DMZ仓库内网仓库安全外部漏洞库漏洞策略白名单临时 永久应用级 中心级漏洞库管理平台自动提单记录漏洞研发第三方包实时更新无漏洞组件漏洞组件审核开发阶段构建阶段上线后开发阶段:开发人员在本地终端编译代码时,制品库根据漏洞策略禁止下载漏洞组件至本地终端。同时,IDE插件会提示漏洞信息。构建阶段:制品库根据漏
10、洞策略禁止漏洞组件被下载,同时流水线构建失败,开发人员应根据提醒升级至修复版本。阻断下载IDE插件提示漏洞信息无漏洞组件漏洞组件阻断下载升级修复接受风险申请遗留制品库项目组本地开发持续集成SDL体系建设实践|开源安全管控SDL体系建设实践|安全运营漏洞闭环发布审核信息收集SDLC优化测试环节发现的漏洞100%全流程管理,确保漏洞闭环发布流程审核,确保发布应用不存在未修复的高、中危漏洞互联网新增漏洞、生产安全漏洞、新法规标准等信息收集复盘回溯排查导入漏洞复盘目标此类漏洞在此应用不再出现如何把SDLC执行的更好面向研发团队面向安全团队复盘SDLC体系的不足基线属性、标签、视图安全规范知识库安全组件
11、安全分析不足编码开发不足安全工具不足技术手段管理手段安全组件存量排查审计SDL体系建设实践|漏洞复盘统一思想认可价值灵魂五问找措施定计划保闭环123通过以下纬度评价SDLC执行效果:需求覆盖度 安全分析及时性 安全分析准确性 文档规范性 代码规范性 安全测试及时性 安全测试准确性(漏检率)终极目标:提升应用安全质量(生产安全漏洞降低率)度量维度安全分析节点执行度量开发编码节点执行度量安全测试节点节点执行度量执行过程目标度量执行结果目标度量SDL体系建设实践|度量评价如果你不能度量它,你就无法改进它。软件安全成熟度模型:BSIMM、SAMMSDL体系建设实践|度量评价应用人员工具漏洞绩效考核面向研发团队面向个人统计分析金融企业应用安全现状SDL落地面临的困难SDL体系建设实践SDL持续演进目 录CONTENTSSDL持续演进SDL or DevSecOps?SDL持续演进SDL持续演进支撑业务、融入业务、随业务变化而不断演进!