- 1、本文档共49页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
DevSecOps在腾讯云的落地实践
从混沌到体系化
1、腾讯云产品体系与安全挑战
目录 2、从边界建立起的安全防线
3、基于风险控制的安全体系
CONTENTS
4、DevSecOps的尝试落地
01 腾讯云产品体系与安全挑战
复杂的产品体系及人员组织
1. 庞大的体系与快速迭代
• 50+产品分类,200+一级产品,2、3000二级产品
• 最多日均近10个新产品上线,日常N个版本发布
2. 复杂的产品形态与研发场景
• 自研、合作研发、OEM等
• SaaS、PaaS、IaaS
• 专有云、私有云、公有云、混合云
复杂的产品体系及人员组织
3. 多样化的技术栈与架构
• C、JAVA、GO、PHP、Python、NodeJS…
• Web应用、APP、客户端、小程序…
• 各种中间件、一些新型架构等
4. 多重组织与人员结构
• 总部、子公司、投资全资子公司、外部企业
• 正式员工、驻场外包、子公司员工、研发外包
• 跨公司、跨BG、跨部门、跨业务线、跨中心
多维度的安全挑战
不同的研发与发布流程 员工安全意识各不相同 产品安全质量参差不齐
无法约束外部引入风险 跨团队的安全落地挑战 安全跟不上产品发布
产品需求发布大于安全 工具与新架构的不匹配 …
02 从边界建立起的安全防线
当前核心关注点
1. 产品不出安全问题
• 产品不出严重危害的安全问题
• 产品不出简单易发现安全问题
2. 保障核心数据安全
• 有效发现入侵事件,保障内网安全
• 减少入侵入口
域名申请安全审批
管控腾讯云等域名的使用,减少域名滥用情况,降
低对腾讯云官网等的安全风险
服务器外网IP安全审批
管控内网机器及服务的非必要/非安
全开放,减少黑客入侵入口
安全管控 新产品上线安全检查与审批
在产品上线流程嵌入安全检查流程,保障产品在
上线前已收敛大部分安全问题并做相关安全加固
ToB场景需求的安全检查与审批
针对ToB的一些如合作开发等特殊场景做安全评估、
检查与审批,避免非安全操作带来的数据泄露等损失
在外,管控域名、外网IP的使用,减少非必要风险暴露面及攻击入口
在内,嵌入产品发布及项目流程,通过安全检查与评估收敛安全问题
有限人力关注重点项目,黑盒测试基于流程进行自动化检查
100
50 测评版本数
1216 6123 2118 3316
文档评论(0)