刘国隆金融行业DevSecOps安全测试体系建设与实践.pdf

《刘国隆金融行业DevSecOps安全测试体系建设与实践.pdf》由会员分享，可在线阅读，更多相关《刘国隆金融行业DevSecOps安全测试体系建设与实践.pdf（33页珍藏版）》请在三个皮匠报告上搜索。

1、金融行业DevSecOps安全测试体系建设与实践刘国隆 华泰证券信息安全专家注册信息隐私技术专家(IAPP-CIPT)、PMP，曾就职于华为技术有限公司，拥有多年的安全和隐私保护从业经历。在SDL/DevSecOps、应用安全设计、安全代码审计、WEB/移动安全测试、GDPR数据安全与隐私保护等领域具有丰富的经验。目前主要专注于应用安全测试体系建设、项目安全风险评估、DevSecOps落地、漏洞全生命周期运营与管理等。DevSecOps/SDL与安全评估安全测试工具链渗透测试与漏洞运营总结DevSecOps/SDL与安全评估上医治未病修复漏洞成本运行阶段：设计阶段=30倍安全左移 DevSec

2、Ops/SDL让安全贯穿整个软件开发生命周期根据英国的权威机构Information Security Forum的报告Application Security:Bring Order to Chaos，通过对全球150名应用开发决策者进行调查后发现，对应用安全的风险管理越早越经济-在运行阶段修复一个漏洞成本是在设计阶段修复同样问题的成本的30倍。ISF:Application Security:Bring Order to ChaosDevSecOps/SDL软件安全开发生命周期在设计、编码、构建、测试、发布、部署等软件开发生命周期各个阶段加入相应的安全活动，并启动安全质量门禁。金融行业De

3、vSecOps特点：存在大量外购产品、非标准化开发产品未接入DevOps流水线安全评估流程1.0安全需求分析架构评审安全设计源代码安全扫描开源组件安全扫描黑盒安全扫描渗透测试生产环境部署验证剩余风险评级与接受p!#$#%!#$#%p&()*+&()*+p&,-.&,-.p&/0.&/0.p12,-3412,-34p&5678p&569:p&56;.?=.?pABABC3?C3?pDE.?DE.?p BFG&HIp ABJKL?p JMN?p OPQRSTpUVWCXYUVWCXYZWCZWCpLWCLWCp_a%b_a%bp_cdef_cdefpghighip jGklm&?nFopqrp s

4、tNlm&?nBopqrp uvwxRyp zvwxRyp&hQRp&|I通过安全评估流程，实现对软件安全开发生命周期管理三叉戟安全评估流程2.0安全评估1.0安全评估2.0三叉戟核心功能：1.轻量级威胁建模自动化2.安全测试工具聚合集成与自动化3.数据驱动应用安全风险管理轻量级威胁建模1.0安全评估调查问卷安全威胁库安全需求库安全需求基线威胁建模的核心工作：通过对待建系统的分析，识别相关安全威胁，构建研发项目组必须实现的安全需求来缓释和控制安全风险。1.大量的工作需要人工介入2.威胁分析易产生遗漏三叉戟轻量级威胁建模2.0通过三叉戟实现安全威胁建模自动化三叉戟轻量级威胁建模2.0通过使用用户

5、场景、关键技术架构、数据处理活动等关键因子构成的调查问卷，内嵌轻量级威胁建模算法，构建相关安全需求，并映射相关安全验证活动三叉戟轻量级威胁建模2.0调查问卷安全需求分配安全需求执行安全需求验证通过三叉戟可以减少大量的人工分析工作并减少误判安全测试工具链三叉戟安全测试流程安全测试渗透测试安全工具链扫描安全测试主要分为安全工具链扫描与人工渗透测试安全工具链扫描的主要原则：1.安全工具能够集成到DevOps流水线的尽量集成2.对于集成有难度的尽量聚合扫描，减少人工操作三叉戟安全测试流程三叉戟与DevOps流水线同步自动化扫描漏洞数据对于大量外购产品和非标准化开发的产品提供聚合扫描入口，减少人工操作安

6、全工具链漏洞数据聚合与分析多个安全工具扫描出的漏洞聚合会造成杂、多、乱的问题安全工具漏洞过滤分析：误报率与漏报率安全工具漏洞评级优化：根据企业自身情况与漏洞实际利用条件对评级进行自动化调整安全工具漏洞聚合关联：根据不同工具对各类漏洞扫描准确率、可信度进行规则调优，关闭高误报、低可信规则安全渗透测试渗透测试类型安全评估渗透测试融入安全评估流程，在应用系统发生变更时应用系统变更内容包括但不限于：版本升级，设备替换或部署架构调整，新功能引入等；对于面向互联网应用：接口新增，逻辑校验改动等根据XXX技术开发操作流程以及XXX应用系统变更管理规范01互联网众测外部白帽子参与纯黑盒视角可通过周期性轮换白帽