基于虚拟安全团队的s-sdlc在跨国团队的实践.pdfVIP

基于虚拟安全团队的S-SDLC 在跨国团队的实践 主讲人：肖文棣 Mendick Xiao 2017-07-08 周年 周年 国家与地区 亿美元资产 目录 • 安全落地的最佳实践 • 安全评级-高层会的更新 • 流程、工具和培训 安全落地的最佳实践 我们的挑战 我们的应对之道 我们的挑战 区域 资源 落地 挑战 挑战 挑战 美国 vs 全球 - 需要代言人 10 VS 1000 需要帮手 落地 我们的应对 双赢模式 数据驱动 安全白帽子 SAFETY 三大使命 安全部门 安全白帽子 安全知识培训 安全工具 安全白帽子 安全白帽子 代码 代码 代码 缺陷库 开发 开发 开发 开发 开发 开发 团队 团队 团队 团队 团队 团队 开发 开发 开发 团队 团队 团队 桥梁 守卫者 导师 安全白帽子的全球分布 安全白帽子的文化 数据驱动 ★★★★★ 项目 行代码 漏洞 安全评级-高层会的更新 安全星等级 应用名称 严重 高 中 低 总数 安全星等级 趋势 数据密级 等级评级 APP 1 0 0 0 1 1 ★★★★ 平 敏感 2 APP 2 0 0 11 3 14 ★★★★ 向上 敏感 1 APP 3 0 0 0 1 1 ★★★★ 平 受限 1 数据密级分类 密级 描述 公开 公开信息，如公开刊物的信息、外部IP地址、网站地址，金融财报公开信息等 敏感 敏感信息，如一般个人信息，包括用户姓名、地址、电话号码、邮箱地址；金融 账号信息，如银行卡账号；公司业务算法和公式等 受限 严格受限的信息，包括身份证号，税务登记号，信用卡号和PIN码 漏洞等级 漏洞等级 描述 严重 Critical 自定义，导致敏感信息被窃取和系统不可用的漏洞 高 High CVSS评级在7和10之间的漏洞 中 Medium CVSS评级在3和6之间的漏洞 低 Low CVSS评级在1和2之间的漏洞 安全星等级的标准 星级/数据密级分类 受限数据 敏感数据