企业安全开发生命周期.pptxVIP

有策略含整体的安全管控策略、安全目标，针对重要业务的安全策略；有组织含角色和职责分工、协作；有标准含设计标准/规范、部署标准/规范，以及适合公司环境的产品/工具/组件等标准；有流程将上述策略、标准/规范嵌入到流程中；能落实策略、标准/规范得到贯彻实施，如代码审计、安全测试、安全部署等，通过技术、工具或审计等手段辅助落地。

S-SDLC的具体实践RequirementArchitectureCodeTestOperationsPenetrationTestingSecurityTestingSecurityRequirementThreatModelCodeReview

S-SDLC的具体实践开始设计与架构安全需求网站应用静态代码扫描静态代码扫描动态代码扫描分析接受或修复缺陷库统计误报/漏报培训不是是接受不接受架构评审安全扫描治理审计第三方安全检查修复建议修复建议

架构评审? 数据流的信息密级STRIDE威胁建模? 第三方依赖的安全性? 身份认证、权限管理和日志审计

开发人员Git仓库JIRA系统Checkmarx项目安全白帽子静态代码扫描提供指导意见与帮助创建项目审核漏洞生成漏洞报告定时扫描提供漏洞产生问题单触发扫描Jenkins系统漏洞数据

开发人员用户浏览器安全白帽子测试人员BurpSuiteWeb应用JIRA系统提供培训与技术支持提供培训与技术支持动态代码扫描测试报告手工产生问题单审计与检查获取问题单修复问题更新应用访问网站发送数据自动扫描

培训和指导MDP培训? 测试人员培训/开发人员培训? 安全白帽子内部培训? 安全问题的通用解决方案培训

漏洞管理——通过流程闭环解决SDL业务发展迅速每周有近百个需求需要评审无奈的第三方业务发展迅速的同时也需要第三方来支撑开发技术水平不一每周都有开发入职，新入职的开发安全意识比薄弱评审了怎么还有漏洞手工测试，难免遗漏安全评审要前置降低漏洞发现和修复成本人工绕过上线流程开发团队内部宣导与意识不足

《VIP项目安全上线管理流程V1.0》发布2014年8月2014年9月《产品设计与开发安全红线V1.0》发布2015年3月VIP安全评审自助提测系统上线2015年全年2000+项目通过上线前评审2016年5月《web安全测试基线用例》发布2016年6月自主研发黑盒扫描系统上线参考案例：唯品会SDL发展历程

总结安全 数据白帽子 驱动