研发安全及合规管理.pptx

研发安全及合规治理分享

01：转型背景

02：面临挑战

03：整体思路

04：制度建设

05：流程建设

06：工具建设

研发安全治理背景

科技转型

研发人员增加架构技术栈更新快

应用系统增多业务复杂度提高敏感数据倍增

研发安全转型

研发安全团队扩充以应用纬度管理安全提升工具化能力

细分领域要求增加安全管控能力要求增加

转型过程面临的挑战

线下安全评审、设计、审查效率低

依靠研发主动提测会遗漏修复方案形态各异

人力不足

效率低

质量压力

存在的问题

各研发领域研发流程不统一

强制安全评审、设计、设计审查环节

质量保证

覆盖全

提高效率

强制人工安全测试

版本安全及合规质量管控修复方案标准化

优化举措

研发流程一体化，Starlink集中推广

安全检测工具化

转型过程面临的挑战

人

工具

研发安全及合规风险治理总体需求及目标

信息科技管理部门

操作风险管理制度

研发安全管理制度

数据安全管理制度

开源软件管理制度

安全漏洞管理指标

合规事项整改指标

安全漏洞处置流程

开源软件事项处置流程

合规事件处置流程

安全事件处置流程

操作行为监测规则

开源软件风险规则

研发安全风险规则

新技术应用

统一管控规则

防护检测规则

组织机构

制度建设

运营分析

流程建设

规则集合

基础设施

流量分析平台

漏洞扫描系统

开源软件扫描检测

IAST/RASP

代码扫描

SDLC

研发运营分析

风险评分卡点

线上化漏洞监测

运维流量

入侵检测

架构工具

研发过程

发布管理

运行监测

其他制度

其他指标

其他处置流程

应用资产分类分级

--不同风险不同管控思路

CMS

SLB

流量

APM

工具

CMDB

…

提炼数据进行打标

应用风险属性标识

资产信息数据库

风险定级

是否合规属性

SDLC覆盖情况

面向互联网

应用组件依赖库

互联网资产暴露监测

自动化工具覆盖率探测

….

依据不同风险等级实施不同的安全管控措施

1、SDLC

2、精简版SDLC

3、周期性测试

4、纯工具执行

…..

涉敏应用

…..

制度建设

《各!#$%(》

)*+,-!./012

《34!%01》

《数据56789%01》

…….

!,-./01234)*+

《56789:;=)*》

《日志数据平台安全管理细则》

《9:?@AB()*》

CCC

二阶制度

三阶执行细则

!#$%()*+

1!#$%(

2!)*+,-.

3!)*/01234

4DEFGHIJK234AB

5!567289

基本框架

!#$%

()*+,-SDLC.

/()*+0-.

$%12345

6789:;=

:;$%?@ABCDE

FGHI5

J2FG

KLM?@NOPE

QRSL/TUVW5

XYVWTZFG

[\]^_`a

bcXYGdKe

QRFGY

XYfgKehijk

KelmY

运营指标

研发安全类（漏洞事件型）

研发合规治理类（方案/组件接入率等）

部门

团队

小组

研发负责人

筛选纬度

流程建设

事件及漏洞处置型：一般事件型处置流程

研发流程型：结合SDLC的DevOps安全与风险管控机制

全流程闭环

1、全工作流状态通知，提升处置时效

2、逐级抄送直到CTO，敦促处置

3、基础数据打通，降低运营成本

4、丰富报表，更精细的运营分析

研发主导（SDLC）+安全统一管控

1、研发全周期安全把控

2、结合SDLC契合DevOps的管控机制

3、提升自动化能力降低研发配合成本

4、汇集安全过程数据到版本卡点管控

5、互联网漏洞SDLC执行溯源

系统性工具

--SAST静态代码扫描

VS

优势-定制

定制成本低、效率高检测针对性强、误报低封装多引擎，择优开发

劣势

规则严格误报较多定制规则不够灵活要付费深度定制规则

优势-通用

通用检测规则全面

通用规则漏报低扫描能力非常成熟

劣势

通用规则积累少不成熟定制规则需要长期投入

商业版

自研版

系统性工具

--SAST静态代码扫描

全流程线上化闭环

嵌套商用及自研扫描能力

指标统计

客户端自行检测

流量采集流量打标

流量解析初步清洗

扫描调度精细控制

多种引擎持续扫描

结果汇聚持续运营

消息队列

初级过滤

解析抓包

报文存储

API接口

自研引擎

开源引擎

商业引擎

任务调度

认证态流量去重黑白名单流量清洗

SOP

SDP

安全运营平台

结果汇聚

系统性工具

--DAST全流量扫描

系统性工具

--SCA开源软件扫描能力

开源软件安全治理

存量风险

增量风险

过程治理

安全资产

申请准入

嵌入SDLC流程黑名单机制

漏洞库资产库

漏洞监控漏洞预警

开源软件扫描存量治理

黑名单

SOP安全运营平台

漏洞预警

预警研判外部预警情报内部安全研究