1、石刘洋 支付宝安全专家21.5.14EISS-2021 北京站开发安全分会场大型互联网平台SDL实践：业务风险深度评估来自 支付宝业务安全技术团队1.业务SDL工作模式演进2.安全BP视角的场景化风险深度评估3.现阶段不足及解法思考业务安全工作模式演进20192019年以前年以前20、微软传统SDL模式在线下运行2、devsecops工具链基本建成1 1、建、建SDLSDL平台，运行线上化平台，运行线上化SDLSDL流程流程2 2、需求和研发过程的自动同步、需求和研发过程的自动同步3 3、建立场景威胁建模模型、建立场景威胁建模模

2、型1、结构化理解业务2、安全评估与研发阶段解耦（弱依赖）3、自动化程度更高1.0 手工作坊2.02.0 工厂工厂3.0 智造工厂业务安全SDL发展4.0 智能工厂【背景】研发基础设施持续演进 项目/需求协作平台【背景】研发基础设施持续演进 智能研发/测试部署平台【背景】基础安全平台能力持续演进 白盒【背景】基础安全平台能力持续演进 插桩交互式扫描【背景】基础安全平台能力持续演进黑盒及流量感知【背景】基础安全平台能力持续演进思考：自动化工具解决哪些问题是不足的？需求设计编码测试上线项目/需求协作平台研发/测试部署平台研发流研发/测试产品/研发/质量测试白盒扫描基础安全能力时间轴文档协作灰盒扫描黑

3、盒扫描基础安全设施持续演进漏洞/风险工单管理平台风险发现节点比较靠后泛业务风险无法覆盖（流程绕过/数据安全/玩法设计/水平越权等）线下安全评审（根据业务文档/代码理解业务）业务SDL-手工作坊变更依赖人工沟通（漏需求）人工沟通成本高安全评估依赖个人经验，checklist难以沉淀安全评估数据无沉淀无运营，安全平台分散低侵入风险项闭环效果好需求设计编码测试上线需求变更监控代码变更监控场景-风险checklist研发流1.1.1自动拉取需求安全评审4.1自动拉取代码分支5.1主动录入测试信息2.1 主动录入系/测分资料项目建立安全测试1.2.1 主动录入需求SDL平台项目结束1.1.2 建立sdl

4、项目4.1自动识别核心变更代码段3.1 评审期风险确认/新场景沉淀时间轴6.1测试期风险确认系统安全工程师业务方0.1 场景-风险建模场景-风险建模威胁建模业务SDL-工厂阶段业务SDL-工厂阶段 需求/变更监控业务SDL-工厂阶段 评估流水线业务SDL-工厂阶段 场景及风险项关联业务SDL-工厂阶段 风险评估模型（checklist）变更依赖人工沟通（漏需求）人工沟通成本高安全评估依赖个人经验，checklist难以沉淀安全评估数据无沉淀无运营，安全平台分散业务SDL-工厂阶段 数据运营需求 研发项目感知，预评估风险 各项评估流程开启，各安全团队介入 业务场景自动化识别 场景-威胁建模 结构

5、化评估结论、结构化安全解决方案 CI/CD流程安全扫描 解决方案实施验证 定制化安全方案实施 安全方案实施验证 解决方案实施验证 漏洞修复验证 风险监控分析 应急响应机制设计研发测试发布风险处置风险建模风险预评风险验证风险运营SDL工作台需求评审工作台威胁建模工作台风险处置工作台安全测试工作台风险运营工作台TMS 安全内容精准分发 安全测验常态化 负反馈机制 评价体系安全意识提升安全能力提升培训精准赋能平台需求自动感知快速评审定时同步任务个人工作台多类型来源支持场景-风险模型多团队模型管理SDL内容标准化结构化评估结论结构化解决方案安全产品标准化接入持续风险扫描解决方案实施评估结论自动化验证威

6、胁建模评价漏洞平台接入QL控制流规则自动化测试解决方案实施自动化验证风险处置预案编写风险生命周期管理风险复盘闭环风险可视化统一数据门户智能告警日常巡检风险处置预案执行内容协作平台元数据打标体系负反馈流程实现学习评价能力运营分析平台白盒接入业务SDL-工厂阶段体系建设研发流程持续风险批露3、开放的设计文档/代码分享氛围如外报漏洞数目降低/线上风险数降低（1:150人力）2、基础设施安全相对健全，服务业务目标驱动业务SDL-工厂阶段 可实施的重要前提安全BP视角的场景化风险深度评估安全BP的定位垂直安全领域（应用安全垂直安全领域（应用安全/数据安全数据安全/客户端安全客户端安全/合规合规/法务法务

7、/隐私等）隐私等）安全安全BP(BP(业务安全接口人业务安全接口人)各业务团队各业务团队深度-理解业务安全的“正确解”-业务可落地的“最优解”探索复杂遗留问题的可行解如何理解业务-读文档/看代码/勤琢磨如何理解业务-读文档/看代码/勤琢磨看了代码才是“自己人”看了代码才是“自己人”看代码是带着目的的，如何把这个环节提效？看代码是带着目的的，如何把这个环节提效？案例：红包备注出现违禁词案例：脱敏问题未脱敏确实是个问题，但假如结合实际场景是切换用户登录时的用户名自动未脱敏确实是个问题，但假如结合实际场景是切换用户登录时的用户名自动填充功能，又比较合理。填充功能，又比较合理。安全好治无病以为功？安全

8、好治无病以为功？如果需要修复：如果需要修复：方案一：接口疲劳度控制来缓解方案一：接口疲劳度控制来缓解方案二：脱敏，但业务有损方案二：脱敏，但业务有损-评估实际损失评估实际损失方案三：用其他非敏感用户标识来关联用户账号方案三：用其他非敏感用户标识来关联用户账号-客户端客户端/服务端功能改造服务端功能改造案例：正常功能的滥用(泛业务风险)上海品茶弹屏准入流程（线下到线上）上海品茶弹屏准入流程（线下到线上）-事中动态拦截事中动态拦截-活动降级策略活动降级策略案例：不确定危害但很难修复的漏洞最终排除风险最终排除风险甲方安全工作开展感受安全安全BPBP-安全架构师安全架构师-安全安全CISOCISO甲方安全工作

9、开展感受安全安全BPBP-安全架构师安全架构师-安全安全CISOCISO现阶段不足及解法思考现阶段不足1、理解业务成本高（非结构化-结构化）2、业务量级/复杂度持续扩大（质量的妥协）-评估方法、流程、自动化3、侵入性（业务面临多个安全平台）-入口共建及数据同步4、闭环推动难-质量团队合作业务语义翻译/必要卡点能力/风险左移理解业务-结构化链路拆分业务行为一业务行为二业务行为三业务单元业务子行为一业务子行为二风险场景！db业务行为链路请求名：service.mini.appconvert.queryFlow参数：processType系统调用链路核心系统！init:108,WsHttpUpgra

10、deHandler(org.apache.tomcat.websocket.server)process:915,AbstractProtocol$ConnectionHandler(org.apache.coyote)doRun:1590,NioEndpoint$SocketProcessor()run:49,SocketProcessorBase()runWorker:1149,ThreadPoolExecutor(java.util.concurrent)run:624,ThreadPoolExecutor$Worker(java.util.concurrent)run:61,TaskT

11、hread$WrappingRunnable(org.apache.tomcat.util.threads)run:748,Thread(java.lang)危险方法！代码控制链路抛砖引玉：结构化理解业务示例20192019年以前年以前20、微软传统SDL模式在线下运行2、devsecops工具链基本建成1 1、建、建SDLSDL平台，运行线上化平台，运行线上化SDLSDL流程流程2 2、需求和研发过程的自动同步、需求和研发过程的自动同步3 3、建立场景威胁建模模型、建立场景威胁建模模型1、结构化理解业务2、安全评估与研发阶段解耦（弱依赖）3、自动化程度更高1.0 手工作坊2.02.0 工厂工厂3.0 智造工厂业务安全SDL发展4.0 智能工厂THE ENDTHE ENDTHANK YOU!诚招SDL选手 跪求勾搭orz非攻实验室搭车招聘Java安全选手