武鑫-Shift Left在开发安全中的应用（16页）.pdf

《武鑫-Shift Left在开发安全中的应用（16页）.pdf》由会员分享，可在线阅读，更多相关《武鑫-Shift Left在开发安全中的应用（16页）.pdf（16页珍藏版）》请在三个皮匠报告上搜索。

1、武鑫武鑫/产品安全负责人、产品安全负责人、QAXSRC负责人负责人/奇安信奇安信奇安信网络安全部产品安全负责人、奇安信网络安全部产品安全负责人、QAXSRC负责人、负责人、网络尖刀网络尖刀Z小队成员、小队成员、VSRC2016年第二季度年第二季度“安全专安全专家家”、HCSRC总排行榜第二。总排行榜第二。擅长从攻防视角发现并闭环安全隐患，具备擅长从攻防视角发现并闭环安全隐患，具备5年安全年安全攻防经验，专注于研发安全、安全测试方向，在攻防经验，专注于研发安全、安全测试方向，在SDL、DevSecOps领域有一定研究和落地经验。对外输出四领域有一定研究和落地经验。对外输出四十余篇原创文章，公众号

2、【我的安全视界观】作者。十余篇原创文章，公众号【我的安全视界观】作者。Shift Left在开发安全中的应用分享大纲：从测试视角看左移开发安全左移实践开发安全左移建议Speaker：武鑫（奇安信产品安全负责人）Where Shift-Left？Arthur Hicken：The Shift-Left Approach to Software Testing 测试测试活动尽早活动尽早的介入到软件研发过程中，强调开发工程师开发工程师验证自己编写的代码。(即：开发自测，包括代码逻辑、接口测试等，从效能方面来看也更加合适)Why Shift-Left？图片来自 Capers Jones Applied

3、 Software Measurement:Global Analysis of Productivity and Quality1、85%的缺陷都是在开发人员编码时引入；2、目前大多缺陷都是在测试阶段发现；3、缺陷的修复工作越往后开销越大。What Shift-Left？但开发安全又不仅限于安全测试，还需要安全组织、安全流程、安全规范、安全工具支撑。PlanningCodingBuildingTestingReleasingDeployingOperatingMonitoringCommon Security TestingSecurity Development Life Cycle 类似

4、于测试，安全测试也应该前置。在产品研发流程中，向靠前的环节嵌入相应的安全活动。概念阶段Concept计划阶段Plan开发阶段Development验证阶段Validation发布阶段Launch生命周期管理阶段LifecycleTR1TR2TR3TR4TR5TR6GA安全设计安全编码安全测试发布审核线上运营产品安全设计基线产品安全架构设计产品威胁建模与风险分析编码安全规范静态代码审计第三方开源组件安全治理基础安全扫描自动化安全测试人工安全测试安全质量审核产品安全基线（交付）漏洞情报监测产品安全众测QAXSRC运营 安全组织与流程安全组织与流程 安全技术与培训安全技术与培训OEM-IN 产品安全

5、外部合作产品安全供应商及物料安全供应链安全产品安全应急响应团队PSIRT产品安全BP白盒安全测试专员安全提测流程安全插队流程安全绿色通道产品应急流程交互式安全测试（IAST）人工代码审计安全架构设计安全提测宣贯安全测试培训白盒审计培训开发安全培训基于业务场景的开发安全全景开发安全左移实践源头管控7个实践案例开源治理安全教育开发环境安全编译代码保护运营反馈开发安全左移实践实践1：源头管控（跳出研发流程）源头管控自研产品外购产品三方组件开发安全安全运营安全清单安全响应资产管理安全测试产品研发包括全自研、OEM、外购、引用三方组件等情况l 安全响应：漏洞响应机制 漏洞反馈机制l 安全清单：代码审计报

6、告/渗透测试报告/漏扫报告 系统架构&组件清单信息开发安全左移实践实践2：开源治理（进入研发流程）l 双向治理：攻击成功视角&合规视角（组件黑名单）l 漏洞闭环：安全测试质量触发漏洞整改通知单抄送领导，安全问题群进行公示开源代码漏洞扫描互联网漏洞预警开源组件安全扫描开源组件可利用漏洞库供应链安全分析系统Git开源代码许可证扫描开源代码片段引用扫描Exploit DB 漏洞利用条件漏洞CVSS 7.0漏洞存在公开EXP源代码安全扫描供应链安全分析片段代码引用扫描域账号/产品/部门开源组件名称开源组件版本工单系统开发安