汪永辉-壹钱包安全开发体系3.0落地实践-脱敏版（12页）.pdf

编号：82887

PDF 12页 1.32MB 下载积分：VIP专享

下载报告请您先登录！

汪永辉-壹钱包安全开发体系3.0落地实践-脱敏版（12页）.pdf

1、汪永辉汪永辉中国平安壹钱包安全架构师壹钱包安全开发体系3.0落地实践背景1.内嵌工具（非外挂）2.赋能研发（更高效）3.设立关卡（强管控）白盒工具白盒工具误报多误报多跨领域沟通成本高跨领域沟通成本高漏洞修复周期长漏洞修复周期长三大痛点三大痛点示意图1示意图2示意图3革新赋能研发，更高效赋能研发，更高效经过学习，研发同学能够快速掌握安全工具的使用方法，基本不用安全介入。设立关卡，强管控设立关卡，强管控达成共识，明确安全红线，自动化卡版。内嵌工具，非外挂内嵌工具，非外挂理念转变，外挂的安全工具服务于安全团队，而内嵌的工具服务于开发团队。1 12 23 3融入DevOps文化安全要求安全扫描安全设计

2、安全加固成立DevSecOps虚拟小组，由研发、产品、质量、运维和安全等角色组成，共同建设DevSecOps，推进每一个子任务融入流程平台。落实非功能性设计线下研讨会，明确安全规范。故事在流程平台中的安全清单里留痕。设计扫描器识别漏洞，并设置安全门禁。验证移动安全加固；接入数审系统。运行漏洞修复时效的瓶颈在哪里？SAST每晚自动执行源代码检测，提测环节卡点。SCA全站升级开源框架组件的周期主要依赖于全量回归测试的自动化程度与机器资源的冗余度。IAST创建容器时，同步自动化插装检测，功能测试环节卡点。MASTAPP安装包安全检测，打包环节卡点。DAST常态化实时监测，从业务系统到生产环节中的全部

3、应用系统。驱动全站升级的下一个挑战通用漏洞主动修复时长（漏洞平均），范围：通用漏洞主动修复时长（漏洞平均），范围：RCERCE漏洞（命令执行、远程执行等）、漏洞（命令执行、远程执行等）、0day0day、cvss7.0cvss7.0分分以上或厂商发布漏洞定级为高危及以上。以上或厂商发布漏洞定级为高危及以上。1、外网漏洞：=8小时，不扣分；2、内网漏洞：=1星期，不扣分；未完待续计划计划构建构建测试测试预发布预发布发布发布配置配置检测检测响应响应预测预测自适应自适应DevOps打造一个动态化的控制台需求分析威胁建模安全编码规范渗透测试回归测试RASP安全基线安全监控漏洞应急响应威胁情报态势感知安

4、全开发组件开源软件检测SASTDASTIAST二进制插桩APK加固系统安全加固容器安全加固WAFUEBA安全事件响应业务风控数据情报业务情报统一需求管理工具自动化威胁建模安全设计自动化安全开发框架安全自动化扫描开源软件检测CI自动化测试框架ASP自动化扫描统一缺陷管理工具自动化回归测试APK自动化加固RASP自动化安全防护自动化安全基线扫描资产检测自动化漏洞自动化监测自动化威胁情报分析业务风控自动化自动化监控用户行为分析自动化安全事件自动化分析红蓝对抗需求分析平台研发安全管理平台安全测试平台安全加固平台RASP防护平台基线扫描平台安全监控平台应急响应平台威胁情报平台业务安全平台安全需求智能化分析编码智能化安全监测安全漏洞智能化挖掘RASP智能化防护智能化安全监控威胁情报分析智能化智能化风控MAST技术革新让安全响应更加迅速机遇机遇极大地缩短了打补丁的周期挑战挑战花样繁多的容器逃逸runC容器逃逸D DevevS SececO Opsps把容器安全融入CI/CD信息安全人人有责 DevOps强调如何促使团队之间更具协作性、更高效的关系，也注重让研发同学更多地控制生产环境。DevSecOps应当更加关注安全意识的宣导，如对钓鱼邮件攻击的识别与防范能力等。代码IDC数据最后，必须强调的是，让安全意识流行起来！

友情提示

1、下载报告失败解决办法
2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。
3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

本文（汪永辉-壹钱包安全开发体系3.0落地实践-脱敏版（12页）.pdf）为本站（小时候）主动上传，三个皮匠报告文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知三个皮匠报告文库（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。