文库搜索
切换导航
首页
频道
安全标准
安全报告
安全文档
首页
安全标准
安全报告
安全文档
批量下载
使用说明
官方交流群
会员登录
安全设计基线自动化原理与实践 秦波01. 基线自动化项目背景. 02. 基线自动化流程. 03. 基线自动化收益. ✱SDL安全开发流程 ✱ ✱基线自动化建设背景 基线自动化的转变 STEP 01 STEP 03 STEP 05STEP 02 STEP 04 STEP 06需求 开发 上线 设计 测试 运营 SDL安全开发流程全景SDL安全开发流程全景 需求 设计 开发 测试 上线 运营 开发过程 功能测试完成后域名申请 Odin上线流程提交线上安全漏洞 日常运营提供安全SDK 白盒代码安全检测黑盒测试安全基线检测 高危三方组件检测安全培训课程 线上漏洞应急响应 优化漏洞检测逻辑 需求评审需求安全评估 软件外采需求安全评估 数据对外需求安全评估开发过程使用安全SDK 代码安全性检测无需人工触发,自动后 台运行集成在odin上线流程中, 在上线前检测应用的安 全性-方案评审方案设计安全评估 提供安全开发规范 方案设计安全评估 安全能力 SDL安全评估是通过对软件设计方案、代码实现进行评估发现其中的安全问题并提供相应的解决方案, 目标是减缓上线后的安全风险,滴滴的业务或系统第一次上线或迭代上线都会经过SDL组的安全评估。 基线自动化建设背景 SDL安全评估重点 1.根据项目场景威胁建模,识别出可能的风险。 2.根据可能的风险,提出对应的安全需求和解决方案 3.根据安全解决方案,进行代码审计 1、创建项目 线下提交材料 4、按要求 设计、实现 5、提交代码及测试 环境 研发人员 SDL工程师 3、根据checklist提 安全需求和解决方案 评估流程 手工代码审计 7、根据发现的问题 进行整改 2、威胁建模 8、验证并同意上线 通过? 基线手工化痛点 人工评估流程长 经验无法沉淀 审计材料线下保存无法及时跟踪 项目量大,不准确性高 基线自动化的转变 1、创建项目 (线上提交材料) 4、按要求 设计、实现 5、提交代码 研发人员 SDL平台 3、输出基线要求、 加固方案 自动化安全评估流程 2、基线规则引 擎:匹配基线 规则 6、代码 检测引擎自动 检测 1、创建项目 (线下提交材料) 4、按要求 设计、实现 5、提交代码 研发人员 SDL工程师 3、根据checklist提 安全需求和解决方案 人工评估流程 6、手工代码审计验 证并测试 7、根据发现的问题 进行整改 2、威胁建模 8、验证并同意上线 通过? 7、根据发现的问题 进行整改 8、验证并同意上线 通过? SDL工程师 检查基线是否合适 根据特定业务场景研 究并输出方案 根据检测结果分析可 能的误报情况 人工威胁建模 根据checklist提出安全需求 手工代码审计 线下存储 引擎自动匹配基线要求 基线引擎自动输出基线要求 代码检测引擎自动化 线上存储
秦波 大型互联网应用安全SDL体系建设实践 脱敏版
安全文档
>
网络安全
>
文档预览
中文文档
18 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
赞助1.5元下载(无需注册)
温馨提示:本文档共18页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助1.5元下载
本文档由
SC
于
2023-03-04 11:18:09
上传分享
举报
下载
原文档
(4.7 MB)
分享
给文档打分
您好可以输入
255
个字符
网站域名是多少( 答案:
github5.com
)
评论列表
暂时还没有评论,期待您的金玉良言
热门文档
GB-T 16814-2008 同步数字体系 (SDH) 光缆线路系统测试方法.pdf
GB T 42446-2023 信息安全技术 网络安全从业人员能力基本要求.pdf
DB42-T 1505-2019 湖北美丽乡村建设规范 湖北省.pdf
GB-T 31049-2022 石油天然气钻采设备 顶部驱动钻井装置.pdf
GB-T 40854-2021 镧铈金属.pdf
GB 35373-2017 氢氟烃类灭火剂.pdf
GB-T 34336-2017 纳米孔气凝胶复合绝热制品.pdf
GB-T 14926.22-2001 实验动物 小鼠肝炎病毒检测方法.pdf
SN-T 1417-2004 国境口岸除鼠规程.pdf
T-CFA 0201031—2018 金属切削机床球墨铸铁件 技术条件.pdf
GA 1800.2-2021 电力系统治安反恐防范要求 第2部分:火力发电企业.pdf
T-LYYLXH 002—2021 养老护理员职业技能操作培训规范.pdf
GB-T 38129-2019智能工厂安全控制要求.pdf
T-CIATCM 016—2019 针灸科电子病历基本数据集.pdf
T-SHZSAQS 00143—2022 竞技场测试法评定湖羊性情技术规程.pdf
GB-T 35589-2017信息技术大数据技术参考模型.pdf
GB-T 20239-2023 体育馆用木质地板.pdf
YD-T 1729-2008 电信网和互联网安全等级保护实施指南.pdf
GB-T 30132-2013 胶印书刊纸.pdf
NISP.SP.800-150 .pdf
1
/
3
18
评价文档
赞助1.5元 点击下载(4.7 MB)
回到顶部
×
微信扫码支付
1.5
元 自动下载
官方客服微信:siduwenku
支付 完成后 如未跳转 点击这里 下载
享优惠, 办会员
每年仅需
99
元(可开发票 无限下载)
加客服微信扫描如下二维码 咨询
×
分享,让知识传承更久远
×
文档举报
举报原因:
×
优惠下载该文档
免费下载 微信群 欢迎您
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。