石刘洋-大型互联网平台SDL实践：业务风险深度评估（36页）.pdf

1、石刘洋 支付宝安全专家21.5.14EISS-2021 北京站开发安全分会场大型互联网平台SDL实践：业务风险深度评估来自 支付宝业务安全技术团队1.业务SDL工作模式演进2.安全BP视角的场景化风险深度评估3.现阶段不足及解法思考业务安全工作模式演进20192019年以前年以前20192019-2021202120212021-202220221、微软传统SDL模式在线下运行2、devsecops工具链基本建成1 1、建、建SDLSDL平台，运行线上化平台，运行线上化SDLSDL流程流程2 2、需求和研发过程的自动同步、需求和研发过程的自动同步3 3、建立场景威胁建模模型、建立场景威胁建模模

2、型1、结构化理解业务2、安全评估与研发阶段解耦（弱依赖）3、自动化程度更高1.0 手工作坊2.02.0 工厂工厂3.0 智造工厂业务安全SDL发展4.0 智能工厂【背景】研发基础设施持续演进 项目/需求协作平台【背景】研发基础设施持续演进 智能研发/测试部署平台【背景】基础安全平台能力持续演进 白盒【背景】基础安全平台能力持续演进 插桩交互式扫描【背景】基础安全平台能力持续演进黑盒及流量感知【背景】基础安全平台能力持续演进思考：自动化工具解决哪些问题是不足的？需求设计编码测试上线项目/需求协作平台研发/测试部署平台研发流研发/测试产品/研发/质量测试白盒扫描基础安全能力时间轴文档协作灰盒扫描黑

3、盒扫描基础安全设施持续演进漏洞/风险工单管理平台风险发现节点比较靠后泛业务风险无法覆盖（流程绕过/数据安全/玩法设计/水平越权等）线下安全评审（根据业务文档/代码理解业务）业务SDL-手工作坊变更依赖人工沟通（漏需求）人工沟通成本高安全评估依赖个人经验，checklist难以沉淀安全评估数据无沉淀无运营，安全平台分散低侵入风险项闭环效果好需求设计编码测试上线需求变更监控代码变更监控场景-风险checklist研发流1.1.1自动拉取需求安全评审4.1自动拉取代码分支5.1主动录入测试信息2.1 主动录入系/测分资料项目建立安全测试1.2.1 主动录入需求SDL平台项目结束1.1.2 建立sdl

4、项目4.1自动识别核心变更代码段3.1 评审期风险确认/新场景沉淀时间轴6.1测试期风险确认系统安全工程师业务方0.1 场景-风险建模场景-风险建模威胁建模业务SDL-工厂阶段业务SDL-工厂阶段 需求/变更监控业务SDL-工厂阶段 评估流水线业务SDL-工厂阶段 场景及风险项关联业务SDL-工厂阶段 风险评估模型（checklist）变更依赖人工沟通（漏需求）人工沟通成本高安全评估依赖个人经验，checklist难以沉淀安全评估数据无沉淀无运营，安全平台分散业务SDL-工厂阶段 数据运营需求 研发项目感知，预评估风险 各项评估流程开启，各安全团队介入 业务场景自动化识别 场景-威胁建模 结构

5、化评估结论、结构化安全解决方案 CI/CD流程安全扫描 解决方案实施验证 定制化安全方案实施 安全方案实施验证 解决方案实施验证 漏洞修复验证 风险监控分析 应急响应机制设计研发测试发布风险处置风险建模风险预评风险验证风险运营SDL工作台需求评审工作台威胁建模工作台风险处置工作台安全测试工作台风险运营工作台TMS 安全内容精准分发 安全测验常态化 负反馈机制 评价体系安全意识提升安全能力提升培训精准赋能平台需求自动感知快速评审定时同步任务个人工作台多类型来源支持场景-风险模型多团队模型管理SDL内容标准化结构化评估结论结构化解决方案安全产品标准化接入持续风险扫描解决方案实施评估结论自动化验证威

6、胁建模评价漏洞平台接入QL控制流规则自动化测试解决方案实施自动化验证风险处置预案编写风险生命周期管理风险复盘闭环风险可视化统一数据门户智能告警日常巡检风险处置预案执行内容协作平台元数据打标体系负反馈流程实现学习评价能力运营分析平台白盒接入业务SDL-工厂阶段体系建设研发流程持续风险批露3、开放的设计文档/代码分享氛围如外报漏洞数目降低/线上风险数降低（1:150人力）2、基础设施安全相对健全，服务业务目标驱动业务SDL-工厂阶段 可实施的重要前提安全BP视角的场景化风险深度评估安全BP的定位垂直安全领域（应用安全垂直安全领域（应用安全/数据安全数据安全/