唯品会企业安全开发生命周期2.0.pdfVIP

从企业安全开发生命周期SDL 到熟悉而又充满惊喜的VSRC2.0时代！ 唯品会SDL发展历程 《VIP项目安全上线 VIP安全评审自助 《web安全测试 管理流程V1.0》发布 提测系统上线 基线用例》发布 2014年9月 2015年 2016年6月 2014年8月 2015年3月 2016年5月 《产品设计与开发安全 全年2000+项目 自主研发黑盒 红线V1.0》发布 通过上线前评审 扫描系统上线 构建SDL ——标准化安全开发流程 需求与 开发实 验证与 培训 响应 设计 现 发布 持续改进 上线管理流程 ——降低人为因素 需求阶段尽早干预 降低漏洞发现成本 红线评审未通过 立即中断安全测试 安全红线 ——消除低级漏洞！ 提测流程变形记 ——Excel到平台 • 成本高 • 体系化 邮件 系统 • 易淹没 • 易规划 人在塔在 德玛西亚 有策略 含整体的安全管控策略、安全目标，针对重要业务的安全策略； 有组织 含角色和职责分工、协作； 有标准 含设计标准/规范、部署标准/规范，以及适合公司环境 的产品/工具/组件等标准； 有流程 将上述策略、标准/规范嵌入到流程中； 能落实 策略、标准/规范得到贯彻实施，如代码审计、安全测试、 安全部署等，通过技术、工具或审计等手段辅助落地。 漏洞管理 ——通过流程闭环解决 评审了怎么还有漏洞 业务发展迅速 手工测试，难免遗漏 每周有近百个需求需要 评审 安全评审要前置 无奈的第三方 降低漏洞发现和修复成本 业务发展迅速的同时也 SDL 需要第三方来支撑 人工绕过上线流程 开发技术水平不一 开发团队内部宣导与意 每周都有开发入职，新 识不足 入职的开发安全意识比 薄弱 方法都知道 落地很艰难 领导不支持 一切都免谈 除了靠自己