DevSecOps在腾讯云的落地实践.pdf

DevSecOps在腾讯云的落地实践 从混沌到体系化 1、腾讯云产品体系与安全挑战 目录 2、从边界建立起的安全防线 3、基于风险控制的安全体系 CONTENTS 4、DevSecOps的尝试落地 01 腾讯云产品体系与安全挑战 复杂的产品体系及人员组织 1. 庞大的体系与快速迭代 • 50+产品分类，200+一级产品，2、3000二级产品 • 最多日均近10个新产品上线，日常N个版本发布 2. 复杂的产品形态与研发场景 • 自研、合作研发、OEM等 • SaaS、PaaS、IaaS • 专有云、私有云、公有云、混合云 复杂的产品体系及人员组织 3. 多样化的技术栈与架构 • C、JAVA、GO、PHP、Python、NodeJS… • Web应用、APP、客户端、小程序… • 各种中间件、一些新型架构等 4. 多重组织与人员结构 • 总部、子公司、投资全资子公司、外部企业 • 正式员工、驻场外包、子公司员工、研发外包 • 跨公司、跨BG、跨部门、跨业务线、跨中心 多维度的安全挑战 不同的研发与发布流程 员工安全意识各不相同 产品安全质量参差不齐 无法约束外部引入风险 跨团队的安全落地挑战 安全跟不上产品发布 产品需求发布大于安全 工具与新架构的不匹配 … 02 从边界建立起的安全防线 当前核心关注点 1. 产品不出安全问题 • 产品不出严重危害的安全问题 • 产品不出简单易发现安全问题 2. 保障核心数据安全 • 有效发现入侵事件，保障内网安全 • 减少入侵入口 域名申请安全审批 管控腾讯云等域名的使用，减少域名滥用情况，降 低对腾讯云官网等的安全风险 服务器外网IP安全审批 管控内网机器及服务的非必要/非安 全开放，减少黑客入侵入口 安全管控 新产品上线安全检查与审批 在产品上线流程嵌入安全检查流程，保障产品在 上线前已收敛大部分安全问题并做相关安全加固 ToB场景需求的安全检查与审批 针对ToB的一些如合作开发等特殊场景做安全评估、 检查与审批，避免非安全操作带来的数据泄露等损失 在外，管控域名、外网IP的使用，减少非必要风险暴露面及攻击入口 在内，嵌入产品发布及项目流程，通过安全检查与评估收敛安全问题 有限人力关注重点项目，黑盒测试基于流程进行自动化检查 100 50 测评版本数 1216 6123 2118 3316