【张永启】中泰证券DevSecOps探索与实践-中泰证券-张永启.pdf

《【张永启】中泰证券DevSecOps探索与实践-中泰证券-张永启.pdf》由会员分享，可在线阅读，更多相关《【张永启】中泰证券DevSecOps探索与实践-中泰证券-张永启.pdf（34页珍藏版）》请在三个皮匠报告上搜索。

1、中泰证券研发安全体系建设实践中泰证券研发安全体系建设实践张永启2023年12月1日CONTENTSCONTENTS总结展望DevSecOps实践与探索背景与挑战背景与挑战严峻的网络安全形势严峻的网络安全形势网络安全事件频发，诸如数据泄漏、勒索软件、黑客攻击等层出不穷，有组织、有目的的网络攻击形势愈加明显西工大邮件系统遭境外组织入侵：西工大邮件系统遭境外组织入侵：9月据官方通报，西工大被境外组织攻击事件，系美国国家安全局所为，该局针对西北工业大学的网络攻击。持续对西北工业大学开展攻击窃密，窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。Apache Log4j2 Apache Log

2、4j2 漏洞：漏洞：2021年12月，Apache开源组件Log4j被发现两个相关漏洞，分别为任意代码执行漏洞和拒绝服务攻击漏洞，攻击者可以通过构造特殊的请求进行任意代码执行，以达到控制服务器、影响服务器执行的目的。该漏洞已影响超6万个开源软件，涉及相关版本软件包32万余个,被认为是“2021年最重要的安全威胁之一”。Spring Spring 框架漏洞：框架漏洞：2022年3 月 30 日，国家信息安全漏洞共享平台（CNVD）收录 Spring 框架远程命令执行漏洞（CNVD-2022-23942）。攻击者利用该漏洞，可在未授权的情况下远程执行命令，该漏洞被称为“核弹级”漏洞。使用 JDK9

3、 及以上版本皆有可能受到影响。安全相关政策要求安全相关政策要求公安部公安部19601960号文明确供应链安全要求号文明确供应链安全要求国家层面行业安全管理办法行业安全标准CNNVD CNNVD 公开披露的漏洞数据公开披露的漏洞数据 漏洞数量16305178571904720793248012018年2019年2020年2021年2022年1630517857190472079324801050001000015000200002500030000CNNVD发布的近5年漏洞数量应用软件漏洞占比 62.1%62.5%59.6%73.8%76.2%2018年 2019年 2020年 2021年 20

4、22年62.1%62.5%59.6%73.8%76.2%0.0%10.0%20.0%30.0%40.0%50.0%60.0%70.0%80.0%CNNVD发布的近5年应用软件漏洞占比漏洞数量涨幅3.38%9.52%6.66%9.17%19.28%2017-2018年2018-2019年2019-2020年2020-2021年2021-2022年3.38%9.52%6.66%9.17%19.28%0.00%5.00%10.00%15.00%20.00%25.00%CNNVD发布的近5年漏洞涨幅趋势22%21%12%11%10%8%5%4%4%3%CNNVD发布的2022年排名前十漏洞类型跨站脚本

5、缓冲区溢出SQL注入代码问题输入验证错误资源管理错误路径遍历跨站请求伪造授权问题信息泄露云原生时代面临的风险和挑战云原生时代面临的风险和挑战业务逻辑漏洞：业务逻辑漏洞：程序员每写1000行代码，就会出现1个逻辑性缺陷。每个逻辑性的缺陷，或者若干个逻辑性缺陷，最终导致一个漏洞；“缺陷是天生的，漏洞是必然的”。第三方组件漏洞：第三方组件漏洞：78%-90%的现代应用融入了开源组件，平均每个 应用包含147个开源组件，且67%的应用采用了带有已知漏洞的开源组件，软件供应链安全威胁迫 在眉睫。APIAPI安全风险：安全风险：API大量出现是云原生环境的一大特点，API的常见网络攻击包括：重放攻击、DD

6、oS 攻击、注入攻击、中间人攻击、内容篡改、参数篡改等。这些新型的安全威胁正在变得更加复杂化、多样化、隐蔽化、自动化。镜像及容器风险：镜像及容器风险：容器安全性至关重要，因为容器中运行的应用程序可能承载着敏感的数据和业务逻辑。一旦容器受到攻击或被滥用，可能导致数据泄露、服务中断、合规性问题甚至整个基础设施的崩溃第三方组件第三方组件开源组件应用安全风险面业务逻辑漏洞业务逻辑漏洞水平/垂直越权、短信轰炸、批量注册、验证码绕过等开源组件开源组件/闭源组件闭源组件CNNVD、CNVD、CVE等开源许可风险自研代码容器环境镜像风险容器环境镜像风险软件漏洞、恶意程序、敏感信息泄漏、不安全配置、仓库漏洞、不