1、滴滴SDL体系建设 范世强 2020.12.17 -滴滴SDL从0-1建设历程 目录 滴滴SDL建设历程概览02 个人介绍01 滴滴SDL建设历程详解03 滴滴SDL现在与未来04 10余年安全从业经历: 国舜科技-安全服务 CNCERT-渗透测试 阿里云-云产品安全 滴滴出行-SDL负责人 2017年加入滴滴,参与了整个滴滴SDL从0-1的建设过程。 个人介绍01 02 滴滴SDL建设历程概览 滴滴SDL建设历程概览01 开发生命周期 滴滴SDL 2017 安全开发技术咨询设计方案评估 提供安全开发规范 黑盒扫描 三方组件扫描 代码安全评估SRC漏洞运营 资产库建设 SDL:Security
2、 Development Lifecycle 安全开发生命周期 需求设计开发准入上线运营测试 线上安全开发培训 滴滴SDL 2018 滴滴SDL 2019 滴滴SDL 2020 自研代码扫描 提供安全SDK 商用代码扫描 黑盒扫描 安全评估平台化 代码审计手册 漏洞月报 安全评估自动化 自研代码扫描 漏洞月报自动化 03 滴滴SDL建设历程详解 滴滴SDL 201701 背景:研发自由上线,SDL无感知;SRC安全漏洞多。 系统上线触发卡点安全评估发布上线资产梳理 尚未覆盖 绕过卡点 线上域名 线上 IP 代码仓库 域名申请 代码准入 采购软件 . 重点建设方向: 建立流程卡点 制定上线规范
3、正向覆盖 反向覆盖 滴滴SDL 201802 背景:各项工作通过人肉开展、自动化程度低;过程依赖邮件、钉钉等方式,知识不能沉淀、各项工作无流程闭环。 重点建设方向: SDL一站式工作平台上线 -数据沉淀、流程线上闭环 -建设漏洞知识库及方案库 自研黑盒与测试环境打通 -多渠道流量采集进行扫描 商用白盒与部署系统打通 -自研检测规则 三方组件检测上线 -打通构建平台拉取组件依赖 滴滴SDL 201903 背景:安全评估数量巨大,人效明显不足。 重点建设方向: 安全评估自动化 -将各个场景的风险提炼成规则引擎 自研白盒扫描工具 -基于图搜索技术 重新制定开发规范 项目信息输入 (反复沟通) 按要求设计、实现 提交代码及 测试环境 研发人员SDL安全工程师 输出安全要求、方案 人工评估流程图 输出review结果整改、上线 业务分析 威胁建模 人工代码 审计 关键信息输入 按要求设计、实现 提交
1、下载报告失败解决办法 2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。 3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。 4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。
2020滴滴网络安全峰会报告:爱康集团信息安全建设-吴洋1222.pdf
2020滴滴网络安全峰会报告:APP隐私合规实践-李晨1222.pdf
2020滴滴网络安全峰会报告:滴滴智能风控平台的探索实践-胡均海1222.pdf
2020滴滴网络安全峰会报告:移动端数据防泄露技术-糜波1222.pdf
2020滴滴网络安全峰会报告:网约车准入AI产品安全实践-张天明1222.pdf
2020滴滴网络安全峰会报告:电信网络诈骗治理工作探讨-胡永涛1222.pdf
2020滴滴网络安全峰会报告:智能设备标识的困境与出路 - 杨正军1222.pdf
2020滴滴网络安全峰会报告:AI芯片的产品设计与安全设计-汤炜伟1222.pdf
2020滴滴网络安全峰会报告:云原生场景下的攻防思路转换-刘文懋1222.pdf
2020滴滴网络安全峰会报告:跨越攻防的壁垒:漫谈企业内部安全蓝军建设实践 - 马慧培1222.pdf
三个皮匠报告专业的行业报告下载站,每日更新,欢迎大家关注!
copyright@2008-2013 长沙景略智创信息技术有限公司版权所有 网站备案/许可证号:湘B2-20190120
专属顾问
机构入驻、侵权投诉、商务合作
三个皮匠报告官方公众号
验证即登录,未注册将自动创建三个皮匠报告账号
使用 微信 扫一扫登陆