58同城 应用安全实践(公开版) .pdf

《58同城 应用安全实践(公开版) .pdf》由会员分享，可在线阅读，更多相关《58同城 应用安全实践(公开版) .pdf（31页珍藏版）》请在三个皮匠报告上搜索。

1、58同城 应用安全实践刘 嵩2023.05.251应用安全-石器时代2应用安全-青铜时代3应用安全-工业时代4应用安全-信息时代Agenda应用安全石器时代PART 01n 主要矛盾：外报漏洞+合规整改人工挖掘+推修开源黑盒扫描器自研黑盒漏洞扫描器漏 洞 运 营SRC石器时代天机 漏洞管理平台漏洞自动找人漏洞状态管理漏洞修复方案/一键修复漏洞自动复测漏洞全面通知工单任务分配石器时代 工单升级 漏洞周报漏洞超期直属上级BG技术一号业务一号石器时代 漏洞修复效果石器时代安全评优与违规处罚安全周与安全大赛安全培训与安全考试安全红线与安全规范安全数据全员公示 安全文化氛围石器时代应用安全青铜时代PAR

2、T 02SRC自研黑盒漏洞扫描器天眼 漏洞扫描器青铜时代WEB攻击流程初次访问攻击成功外网业务内网业务攻击者边界青铜时代 流量镜像-漏洞扫描青铜时代1MSF5Kafka3HDFS2挂载服务器4HIVE 抽取Nginx HTTPS Access Log结果运算对比判断URL归一HASHHTTPKV缓存查询周期更新结果输出缓存更新KAFKAHTTPS规则运算静态文件过滤类目规则运算域名分组运算人工规则运算域名路径拼接SAST工程路由Nginx Conf200亿条 20万条青铜时代集群7日平均请求峰值集群业务QPS集群可用扫描QPS限制 任务限速及集群QPS控制青铜时代xxxxxxxx条xxxxxx

3、条公网：xxx条内网：xxxxxx条公网：xxxx个内网：xxxxxxx个标注率：99.3%xxxxxx个漏洞xxxxx个EXP 数字资产-漏洞扫描端口+服务+应用+语言+PID青铜时代 探索测试阶段黑盒漏洞扫描青铜时代2015-Q1 2015-Q2 2015-Q3 2015-Q4 2016-Q1 2016-Q2 2016-Q3 2016-Q4 2017-Q1 2017-Q2 2017-Q3 2017-Q4 2018-Q1 2018-Q2 2018-Q3 2018-Q4 2019-Q1集团漏洞趋势图开源黑盒漏洞扫描器自研黑盒漏洞扫描器青铜时代2018-01-01 00:00:00 正式上线青铜

4、时代整改报告变少了！应用安全工业时代PART 03SASTSCAIASTIDE Security Plugin系统/镜像安全基线检测系统全面建立风险检出能力工业时代 SAST+SCA工业时代工业时代稳定性：带内、带外监控，多层降级功能性：IAST字节码注入、信息上报V1.0V2.0内部分支 IAST工业时代 IDE Security Plugin工业时代需求设计本地开发统一构建提交测试发布上线线上运行安全设计评审Security SDKIDE Security Plugin安全需求评审SASTSCAIASTDAST专家安全测试主机镜像检查镜像基线检查ASM安全巡检流量安全巡检HIDS安全巡检S

5、RC 应急响应中心安全培训：安全意识、安全需求设计、安全编码规范、安全测试技能研发生命周期安全能力工业时代应用安全信息时代PART 04网络与信息安全零事故网络安全应用安全安全加固内容安全移动安全隐私合规1.检出与召回2.修复与防御3.降“损”提效 应用安全指标设计信息时代应用安全终于进入“SDL循环运营”的阶段信息时代1.检出与召回2.修复与防御3.降“损”提效1、风险漏出率=未修复可漏出风险全部可漏出风险2、漏洞漏报率=外报漏洞总漏洞数3、漏洞修复率=总漏洞数 超期漏洞数总漏洞数4、上线前漏洞发现率=上线前检出漏洞数总漏洞数5、上线前漏洞修复率=上线前修复漏洞数总漏洞数当下与未来 探索SAST漏洞AI检测，扫描结果AI审核 构建跨工程函数调用Code DB，实现跨工程漏洞检出关注我们安世加 专注于网络安全行业，通过互联网平台、线上线下沙龙、峰会、人才招聘等多种形式，致力于创建亚太地区最好的甲乙双方交流学习的平台，培养安全人才，提升行业的整体素质，助推安全生态圈的健康发展。