1、從系統(tǒng)漏洞視角看敏捷安全技術(shù)創(chuàng)新，變革未來敏捷安全關(guān)鍵文化流程技術(shù)文化：開發(fā)運維安全，責(zé)任共擔(dān)產(chǎn)品安全系統(tǒng)運維產(chǎn)線BP研發(fā)委員會安全委員會產(chǎn)品自身的安全與研發(fā)流程中的各個環(huán)節(jié)、每個人都息息相關(guān)，筑建產(chǎn)品的安全是每個人的責(zé)任。專項工作組：建立開發(fā)、運維、安全虛擬工作組，明確工作目標(biāo) 與工作職責(zé)專項工作組部門BP制度：建立部門安全接口人，負(fù)責(zé)上傳與下達(dá)消息、在本 部門落地相關(guān)安全要求安全內(nèi)部分工：在安全團(tuán)隊內(nèi)部設(shè)置不同方向以對應(yīng)開發(fā)安全各 環(huán)節(jié)的安全活動，包括但不僅限于主機安全、安全設(shè)計、白盒測 試、自動化安全測試、SRC運營等流程：安全左移，層層主動檢測計劃編碼測試預(yù)發(fā) 布發(fā)布防護(hù)檢測響應(yīng)預(yù)測優(yōu)

2、化漏洞發(fā)現(xiàn)漏洞驗證漏洞修復(fù)漏洞復(fù)盤漏洞公布驗證漏洞，漏洞修復(fù)完成之后需要進(jìn)行有 效性驗證和補丁安全 性驗證（推動）漏洞責(zé)任人進(jìn) 行漏洞修復(fù)，在必要情 況下出臨時有效的防護(hù) 方案移植“縱深防御”思想到軟件開發(fā)流程中，在推動安全“左移”的同時加強各環(huán)節(jié)安全活動的運營，將層層發(fā)現(xiàn)的 潛在安全風(fēng)險與漏洞聚合處置。分析原因、防護(hù)盲點，向“左”反饋技術(shù)：構(gòu)建工具鏈，發(fā)現(xiàn)漏洞PlanCreateVerifyPreprod uctionReleasePrevent計劃編碼測試預(yù)發(fā)布發(fā)布防護(hù)檢測響應(yīng)預(yù)測優(yōu)化安全培訓(xùn)安全編碼三方組件模糊測試上線決策簽名驗證主機漏掃安全編排AVC方案調(diào)整安全需求IDE插件安全測試集

3、成測試軟件簽名縱深防御Web漏掃威脅狩獵威脅情報流程優(yōu)化安全設(shè)計安全組件容器安全混沌工程修復(fù)計劃完整性檢查滲透測試溯源取證安全預(yù)警運營反饋DetectRespondPredictAdapt安全測試 = DAST（主機漏掃、web漏掃）+ MAST + SAST + IAST漏洞來源： 三方組件 + 安全測試 + 容器安全 + 滲透測試 + 威脅情報漏洞敏捷管理敏捷安全漏洞問題匯總敏捷安全漏洞管理實踐敏捷安全漏洞問題匯總漏洞來源廣，安全測試工具種類多漏洞數(shù)量多，尤其是SAST、DAST環(huán)節(jié)漏洞種類雜，從容器鏡像到應(yīng)用均涉及漏洞數(shù)量多漏洞難修復(fù)缺少上層制度支撐漏洞的修復(fù)系統(tǒng)發(fā)布上線速度快迭代頻繁漏

4、洞數(shù)量多難以推動全部閉環(huán)資產(chǎn)管理無主資產(chǎn)數(shù)量多資產(chǎn)平臺數(shù)據(jù)同步不及時資產(chǎn)屬性不準(zhǔn)確（APP/中間件/負(fù)責(zé)人）漏洞數(shù)量多主要集中體現(xiàn)在測試階段和檢測階段，然而在響應(yīng)階段依舊會發(fā)現(xiàn)“遺漏”的情況： 1、測試階段漏洞案例：測試發(fā)現(xiàn)較多漏洞2、檢測階段漏洞案例：掃描發(fā)現(xiàn)較多漏洞3、響應(yīng)階段漏洞案例：未發(fā)現(xiàn)的安全漏洞測試階段漏洞案例：源代碼安全漏洞項目信息：開發(fā)語言為PHP，代碼總行數(shù)為234.19萬行奇安信代碼衛(wèi)士發(fā)現(xiàn)：高危漏洞31971個，中危漏洞12021個，低危漏洞7598個（共為：51590個）測試階段漏洞案例：開源軟件安全漏洞項目信息：開發(fā)語言為Java奇安信開源衛(wèi)士發(fā)現(xiàn)：超危漏洞36個，高

5、危漏洞30個，中危漏洞21個檢測階段漏洞案例：掃描發(fā)現(xiàn)較多漏洞場景描述：為保證主機及其它服務(wù)的安全性，進(jìn)行日常漏洞掃描。主機掃描：面對10萬+的IP資產(chǎn)，從IP:PORT維度通過服務(wù)識別進(jìn)行精準(zhǔn)掃描，發(fā)現(xiàn)較多高危漏洞。響應(yīng)階段漏洞案例：未發(fā)現(xiàn)的安全漏洞漏洞來源：滲透測試 + SRC原因分析：掃描器不支持postgresql注入掃描、測試環(huán)境未能覆蓋到弱口令相關(guān)的安全測試敏捷安全漏洞管理實踐管理原則：持續(xù)優(yōu)化檢測規(guī)則，提升“高可用”漏洞發(fā)現(xiàn)和漏洞修復(fù)能力，實現(xiàn)漏洞收斂閉環(huán)。二、關(guān)注漏洞預(yù)防工作源頭解決漏洞：應(yīng)用系統(tǒng)：安全編碼，第三方開源組件操作系統(tǒng)及服務(wù)：安全配置規(guī)范，主機安全加 固供應(yīng)鏈安全管

6、理：外購第三方系統(tǒng)安全質(zhì)量要 求一、建制度、策略、系統(tǒng)，加強漏洞修復(fù)能力：公司管理制度制定：規(guī)范漏洞管理、明確職責(zé) 分工、制定獎懲機制漏洞分級抓大放?。焊呶１匦?資產(chǎn)屬性，篩 選高危中的危險漏洞，實現(xiàn)精細(xì)化管理線上漏洞跟進(jìn)處置：安全資產(chǎn)平臺漏洞導(dǎo)入、 高危必修清單、對接安全測試API、漏洞工單三、通過自研POC，完善漏掃高危必修漏洞發(fā)現(xiàn)能 力：弱口令類：服務(wù)器帶外管理及其他web系統(tǒng)高危必修漏洞：包括最新漏洞情報和掃描模板四、在實際應(yīng)用中，人工優(yōu)化各類掃描工具檢測規(guī) 則：SAST檢測規(guī)則精簡IAST檢測規(guī)則增加漏洞聚合，關(guān)聯(lián)分析運營反饋，精簡規(guī)則SAST規(guī)則優(yōu)化：匯總分析所有滲透測試 + SR

7、C收到的漏洞，總結(jié)輸出內(nèi)部Top 10，內(nèi)化為檢測規(guī)則默認(rèn)規(guī)則除去非安全相關(guān)為524條Top 10檢測規(guī)則為172條安全要求僅關(guān)注并修復(fù)高危漏洞 23運營反饋，豐富規(guī)則IAST規(guī)則優(yōu)化：在滲透測試與SRC收到的漏洞中，發(fā)現(xiàn)有一類需要特殊閉合的postgresql注入存在，需要手工安全 測試發(fā)現(xiàn)。通過在IAST工具中針對性自定義檢測規(guī)則，實現(xiàn)自動化檢測。Payload：);select pg_sleep(5);-漏洞聚合，關(guān)聯(lián)分析漏洞運營平臺IP和端口中間件及版本域名和URL開源組件版本操作系統(tǒng)數(shù)據(jù)庫及版本任務(wù)管理資產(chǎn)指紋獲取POC管理常規(guī)高危掃描漏洞復(fù)測漏洞應(yīng)急掃描發(fā)起工單導(dǎo)入xml報告漏洞通知安全測試API漏洞狀態(tài)自動生成工單歷史工單修改漏洞工單漏洞定級弱口令掃描資產(chǎn)平臺椒圖agent采集上報 Nmap全端口掃描與服務(wù)識別 CMDB+ARP+人工錄+OSS漏掃體系分布式掃描調(diào)度引擎 PocSuite3掃描集群+Scan 漏洞處置聯(lián)動郵箱發(fā)送推修郵件設(shè)置修復(fù)時