悬镜安全 DevSecOps敏捷安全解决方案 By Harvey@北京安普诺信息技术有限公司明镜高悬，止黒守白 敏捷安全领导者 Ðü¾µ°²È«01公司概述 INTRODUCTION PART ONE Ðü¾µ°²È«关于悬镜01 DevSecOps智适应威胁管理 •北京大学白帽黑客团队“XMIRROR”主导创立于2014年； •奇安信（早期360）天使轮； •红杉中国PreA轮数千万融资； •腾讯（红杉跟投）近亿元融资； •国内最早开始专注DevSecOps敏捷安全，行业领导者。 致力以AI技术赋能信息安全，为金融、能源、政务、教育及医疗等行业云 用户提供创新灵活的智适应安全管家解决方案。 Ðü¾µ°²È«客户伙伴01 悬镜安全产品技术支持团队分布在北京（总部）、成都（研发中心）、广州、上海等主要地区。 Ðü¾µ°²È«DevSecOps敏捷安全技术实践体系01 •联合FreeBuff发布行业首个《2020 DevSecOps行业洞察报告》 一经发布，被后续多家企业及行业从业者认同学习，并且未来作为研究方向而加入到解决方案中。 Ðü¾µ°²È«02SDL与DevSecOps XMIRROR INTRODUCTION PART TWO Ðü¾µ°²È«安全的修复成本02 •结合信息系统安全现状，从源头解决安全问题得到认可。 •安全建设做得不够好，是因为做得不够早。 •没有持续的安全改进机制，是没有从全局上进行的安全管理和思考。 Ðü¾µ°²È«•安全意识&流程 •安全开发技能安全培训 •业务安全需求分析 •确认安全需求 •行业安全实践要求分析 •威胁建模 •分析攻击面 •安全设计规范安全设计 •安全开发规范 •java开发规范 •PHP开发规范 •HTML5开发规范安全开发应用安全开发生命周期-SDLC02 1 2 3 4 5 6 7•上线安全检查 •配置安全 •上线Checklist安全上线 •漏洞预警 •漏洞发现及响应 •防护手段 •应急服务应急响应 •白盒、灰盒、黑盒 •模糊测试 •安全Checklist安全测试 上线前项目安全评审&需求分析 安全培训&安全设计 安全测试 线上防御 响应 运营上线后 Ðü¾µ°²È«