刘顺-金融企业SDL建设实践（35页）.pdf

《刘顺-金融企业SDL建设实践（35页）.pdf》由会员分享，可在线阅读，更多相关《刘顺-金融企业SDL建设实践（35页）.pdf（35页珍藏版）》请在三个皮匠报告上搜索。

1、刘顺，广发银行研发中心安全专家。10多年网络安全从业经验，曾先后就职于宇通、唯品会、华为等企业。目前就职于广发银行研发中心，在安全规划、安全架构设计、终端安全、应用安全、数据安全与隐私保护等多个领域，具有丰富的管理与实践经验。金融企业SDL建设实践刘顺刘顺 广发银行研发中心广发银行研发中心金融企业应用安全现状SDL落地面临的困难SDL体系建设实践SDL持续演进目 录CONTENTS金融企业应用安全现状监管要求严、行业法规标准多应用安全是入侵企业的重要突破口应用数量多、功能复杂、漏洞层出不穷修复漏洞成本高金融企业应用安全现状解决之道：建立基于软件开发全生命周期的安全管控体系！Security D

2、evelopment Lifecycle金融企业应用安全现状SDL落地面临的困难SDL体系建设实践SDL持续演进目 录CONTENTSSDL落地面临的困难改变现有意识人世间最难的事情莫过于改变所有人的意识与习惯专业人员不足安全专业人员配备不足，无法覆盖所有需求合规条文多合规条文多，无法把所有合规要求有效融入内部管理能力要求高威胁建模、安全编码对需求分析与设计人员、开发人员的能力要求高金融企业应用安全现状SDL落地面临的困难SDL体系建设实践SDL持续演进目 录CONTENTS明确目标、统一信念、获得支持！目标是什么？提升应用安全质量、满足监管合规要求、保障企业经营发展要获得谁的支持？Boss、

3、研发领导为什么SDL是有效的？最佳实践、他山之石为什么SDL是有价值的？成本与收益风险合规SDL体系建设实践|前期准备SDL体系建设实践|微软SDL体系建设制度建设目标流程建设人员能力建设逐步推广安全培训能力考核安全知识库工具能力建设安全平台测试工具安全组件监管合规内生合规合规排查重点互联网应用所有互联网应用重点中后台其他内网应用目标导向提 升 应 用 安 全 质 量、满 足 监 管 合 规 要 求、保 障 企 业 经 营 发 展建设举措p通过制度流程的建设，建立全面的SDL体系，确保研发过程中各项安全举措有章可循、有据可依，确保举措有效落地执行p通过培训、知识库、能力考核举措，从安全职责、安

4、全能力两个方面，建立覆盖产品、开发、测试不同岗位的人才体系，为SDL体系的落地执行提供必要条件p通过平台、组件、测试工具的建设，提供流程化、自动化能力，提升人员的工作效率、降低对人员安全能力的依赖，为研发安全管控体系的有效执行提供支撑效果体现p通过内生合规举措，把重要的监管标准、合规规范中的研发相关要求，转成内部安全基线，在SDLC执行流程中实现这些要求，实现内生合规。p把监管标准、合规规范的原生要求录入安全基线库，借助安全管控平台，可生成合规排查任务。p有节奏逐步推广SDL体系建设实践|建设框架SDL体系建设实践|建设成果需求分析需求设计开发编码测试发布运行安全需求分析安全需求分析【产品经理

5、】安全需求设计编码安全安全测试安全运行安全需求审核【安全BP】资源准备资源准备平台建设安全基线建设安全需求设计【平台自动化】安全编码规范轻量化威胁建模安全框架组件静态扫描人工渗透用例工具隐私合规发布审核漏洞监控应急处置SDL体系建设实践|流程建设安全需求设计安全审核安全编码安全测试上线运行重要节点严格把控流程全覆盖 最小化影响体系管理类软件安全开发管理细则安全基线管理细则安全设计类应用系统安全设计通用规范应用安全客户信息保护设计规范API接口应用安全设计规范安全编码类Java语言安全编码规范PHP语言安全编码规范Python语言安全编码规范JavaScript语言安全编码规范C+/C语言安全编

6、码规范平台安全类Android平台安全开发规范IOS平台安全开发规范安全测试类安全测试管理细则SDL体系建设实践|制度建设SDL体系建设实践|培训考试知识库SDL体系建设实践|传统威胁建模模型复杂专业能力要求高花费时间长Checklist多研发团队不愿意执行Checklist少安全团队担心有风险面临问题SDL体系建设实践|基于业务场景的轻量化威胁建模应用漏洞安全风险应用系统安全设计通用规范应用系统个人金融信息保护安全设计规范法规标准基线来源安全需求安全风险规避等于安全基线安全基线安全基线安全基线安全基线1:1安全风险规避N:1基线属性基线名称与描述基线适