企业研发安全DevSecOps流程落地实践-刘月胜.pdf

1、安世加安世加安世加安世加安世加安世加 企业研发安全DevSecOps落地实践小米安全-刘月胜2024年4月安世加安世加安世加安世加安世加安世加 关于我目前就职于小米集团安全部门，主要负责研发安全、以及应用安全自动化能力建设工作。具有10年以上的应用安全建设经验，曾在媒体行业、教育行业多家公司担任安全工程师和应用安全负责人职责。安世加安世加安世加安世加安世加安世加 内容介绍03.如何落地devops流程中的安全卡点02.研发安全落地现状01.研发安全落地的困难04.如何衡量好与坏05.其它安世加安世加安世加安世加安世加安世加 01研发安全落地的困难安世加安世加安世加安世加安世加安世加 研发安全落

2、地的困难a.没人没钱b.无自动化检测流程c.依赖旁路检测d.覆盖率不足e.业务优先安世加安世加安世加安世加安世加安世加 02研发安全落地现状安世加安世加安世加安世加安世加安世加 研发安全落地现状-业务情况多语言、多框架业务情况复杂多CI系统并行，对于速度和稳定性要求高CI多样化流水线发布频繁，可靠性敏捷开发模式安世加安世加安世加安世加安世加安世加 研发安全落地-研发安全现状无需项目接入，提交代码即检测自检无需工单创建，自行通过平台查看漏洞和修复方案自查自行修复，并重新提交完成复测自修漏洞阻断每周5w+次代码安全扫描接入项目超过1w+研发安全卡点平台异步扫描平台人工审计安世加安世加安世加安世加安

3、世加安世加 03如何落地devops流程中的安全卡点安世加安世加安世加安世加安世加安世加卡点的风险与收益？在运转流畅的敏捷开发流程中增加漏洞拦截环节从来都不是件容易的事情如果搞砸了安全被质疑研发负反馈质量故障安全ROI提升扫描覆盖度提升安全水位提升如果搞好了安世加安世加安世加安世加安世加安世加如何落地安全卡点？设计原则技术方案产品方案安世加安世加安世加安世加安世加安世加 设计原则强制卡点不依赖业务配置对于有漏洞的流水线进行阻断快速检测 1分钟内完成检测熔断机制 不能因为扫描故障影响发布过程特殊跳过特殊情况具备主动跳过能力闭环管控即使跳过也需要修复安世加安世加安世加安世加安世加安世加 技术方案-

4、概述SCA检测越引擎硬编码检测引擎Semgrep漏洞引擎Agent端审批模块白名单模块规则模块漏洞模块审核模块通知模块CI平台Gitlab平台技术要求轻量快速准确 1分钟内完成检测。时间太长严重影响CI体验，业务无法接受，会导致DevOps流程降速，影响发布。快速检测 准确性决定方案是否可行。误报率太高会导致卡点漏洞太多，研发修复困难，严重影响整体的产品体验和检出效果。准确性 不依赖过重的安全检测产品，稳定性、可用性都很高，确保检测过程不会出现质量问题。轻量检测安世加安世加安世加安世加安世加安世加 技术方案-方案选型 优化单项目扫描速度，90%以上在1分钟内完成扫描 分布式扫描，支撑全集团扫描

5、任务 专门维护漏洞库，确保漏洞都是必修漏洞，目前只维护十几个卡点漏洞组件自研SCA 开源项目 检测速度快 分布式扫描 支持多种匹配模式SemGrep引擎组件类权限类漏洞类基线类检测log4j,fastjson等20+安全组件漏洞检测未鉴权、权限绕过、jwt等鉴权组件的安全风险明文密码、配置不当、敏感信息SQL注入、XXE、RCE、XSS、表达式注入等安全漏洞安世加安世加安世加安世加安世加安世加 技术方案-semgrep是啥Github:https:/ 技术方案-semgrep对比安世加安世加安世加安世加安世加安世加 技术方案-Agent机制 均在CI平台接入Agent，不用业务自行配置项目检测

6、，提交代码即接入，实现完整覆盖 针对基于Gitlab CI的项目，放弃.gitlab-ci.yaml配置接入的方法，直接在gitlab runner上接入，既实现了强制接入，又降低了业务接入成本强制检测 Agent高度容错，支持多平台，1分钟未完成检测，则自动跳过，不影响业务超时跳过通过暴力摘除测试，即使扫描平台挂掉，不影响业务安世加安世加安世加安世加安世加安世加技术方案-检测左移 普通代码提交会触发webhook发起检测机制，检测结果会通知研发，提醒尽快完成修复，以免上线前被卡点。更早的通知研发会增加尽快修复的可能性提交即检测 项目编译阶段，检出安全漏