2020滴滴网络安全峰会报告：滴滴SDL体系建设-范世强1222.pdf

《2020滴滴网络安全峰会报告：滴滴SDL体系建设-范世强1222.pdf》由会员分享，可在线阅读，更多相关《2020滴滴网络安全峰会报告：滴滴SDL体系建设-范世强1222.pdf（15页珍藏版）》请在三个皮匠报告上搜索。

1、滴滴SDL体系建设 范世强 2020.12.17 -滴滴SDL从0-1建设历程 目录 滴滴SDL建设历程概览02 个人介绍01 滴滴SDL建设历程详解03 滴滴SDL现在与未来04 10余年安全从业经历： 国舜科技-安全服务 CNCERT-渗透测试 阿里云-云产品安全 滴滴出行-SDL负责人 2017年加入滴滴，参与了整个滴滴SDL从0-1的建设过程。 个人介绍01 02 滴滴SDL建设历程概览 滴滴SDL建设历程概览01 开发生命周期 滴滴SDL 2017 安全开发技术咨询设计方案评估 提供安全开发规范 黑盒扫描 三方组件扫描 代码安全评估SRC漏洞运营 资产库建设 SDL：Security

2、 Development Lifecycle 安全开发生命周期 需求设计开发准入上线运营测试 线上安全开发培训 滴滴SDL 2018 滴滴SDL 2019 滴滴SDL 2020 自研代码扫描 提供安全SDK 商用代码扫描 黑盒扫描 安全评估平台化 代码审计手册 漏洞月报 安全评估自动化 自研代码扫描 漏洞月报自动化 03 滴滴SDL建设历程详解 滴滴SDL 201701 背景：研发自由上线，SDL无感知；SRC安全漏洞多。 系统上线触发卡点安全评估发布上线资产梳理 尚未覆盖 绕过卡点 线上域名 线上 IP 代码仓库 域名申请 代码准入 采购软件 . 重点建设方向： 建立流程卡点 制定上线规范

3、正向覆盖 反向覆盖 滴滴SDL 201802 背景：各项工作通过人肉开展、自动化程度低；过程依赖邮件、钉钉等方式，知识不能沉淀、各项工作无流程闭环。 重点建设方向： SDL一站式工作平台上线 -数据沉淀、流程线上闭环 -建设漏洞知识库及方案库 自研黑盒与测试环境打通 -多渠道流量采集进行扫描 商用白盒与部署系统打通 -自研检测规则 三方组件检测上线 -打通构建平台拉取组件依赖 滴滴SDL 201903 背景：安全评估数量巨大，人效明显不足。 重点建设方向： 安全评估自动化 -将各个场景的风险提炼成规则引擎 自研白盒扫描工具 -基于图搜索技术 重新制定开发规范 项目信息输入 （反复沟通） 按要求设计、实现 提交代码及 测试环境 研发人员SDL安全工程师 输出安全要求、方案 人工评估流程图 输出review结果整改、上线 业务分析 威胁建模 人工代码 审计 关键信息输入 按要求设计、实现 提交