一款安全产品研发的 DevSecOps 之路-张文凯.pdf

《一款安全产品研发的 DevSecOps 之路-张文凯.pdf》由会员分享，可在线阅读，更多相关《一款安全产品研发的 DevSecOps 之路-张文凯.pdf（25页珍藏版）》请在三个皮匠报告上搜索。

1、一款安全产品研发的DevSecOps 之路腾讯安全科恩实验室 张文凯概要安全产品研发概要安全能力工程化落地的挑战产品研发过程中有效的引入安全DevSecOps建设总结概要与问题安全产品研发概要安全能力工程化落地的挑战产品研发过程中有效的引入安全DevSecOps建设总结那么多的安全产品，都是为了解决什么问题？为什么开发安全工具会存在一些非预期的问题？开发安全中怎么去选择工具，建立合适的流程？作为开发安全工具研发人员，是如何落地开发安全？由安全产品研发引出的泛化问题概要安全产品研发概要安全能力工程化落地的挑战产品研发过程中有效的引入安全DevSecOps建设总结为什么会做开发安全产品二进制相关研

2、究能力PCMobile车联/物联AI/大数据 Pwn2Own多次夺冠 浏览器安全研究国际领先 内核、虚拟化等PC场景研究国际领先 发布过PingPong Root 给Google报告过若干安卓漏洞 ApkPecker自动化扫描引擎 智能网联汽车安全研究国际领先 基带、工控、智能家居等漏洞研究与发布 Tesla、BMW、Lexus、Benz等漏洞发布 IoTSec/sysAuditor等自动化工具 Tesla Autopilot安全研究发布 AAAI2020发表二进制相似性检测论文 NeurIPS发表跨模态相似度检测论文 BinaryAI函数检索平台发布二进制SCA产品能力输出安全检测类工具.持

3、续聚焦于二进制安全持续聚焦于二进制安全一些腾讯科恩实验室的技术路线安全能力概览设计阶段威胁建模安全需求设计开发阶段代码检测类工具部分测试类工具引入，fuzzing等技术SBOM构建测试阶段漏扫工具渗透测试漏洞管理/评估系统运营阶段XDRWAFSOCTips：将安全设计看作一种常规化的需求设计，本身并不特殊安全测试是另一种测试门类开发安全概览Application Security Testing(AST)遵循 Gartner定义检测类型特点Static AST(SAST)静态的代码检测 常见源码检测类工具都属于SAST领域Dynamic AST(DAST)动态的检测工具 范围较为广泛，比如漏扫

4、工具，一些fuzzing工具Interactive AST(IAST)交互式应用安全检测Software Composition Analysis(SCA)静态代码检测，建立SBOM 可以应对一些供应链安全问题概要安全产品研发概要安全能力工程化落地的挑战产品研发过程中有效的引入安全DevSecOps建设总结SCA是什么？Automated processSoftwareDependencyOpen Source Software(OSS)Risk,Security(vuln),LicenseSCA文件（软件）SCA 分析SBOMSCA系统示意图输入SCA生成生成SBOM，结合下游任务发挥价值结

5、合下游任务发挥价值 Log4j2事件：CVE-2021-44228,CVE-2021-45046 辅助漏洞挖掘、漏洞利用 软件的合规性审查，符合政策、法规、软件许可证 威胁情报License识别漏洞挖掘漏洞识别威胁情报输出二进制SCA/制品扫描 产品特点分析的范围比源码分析的范围比源码SCA广广，更接近最终制品更接近最终制品供应商1供应商2供应商3lib1.olib2.olib3.ocore.oa.out是否包含高危漏洞是否有违规使用GPLv2协议的法律风险是否受爆发的Log4j漏洞影响是否受供应链投毒影响评估供应商的交付物的质量推动供应商更新重要依赖组件的版本core.c源码源码二进制二进制

6、编译系统构建文件有无变量类型信息有无代码结构有无多种可执行文件格式无有多架构无有编译优化无有类别因素业务场景二进制SCA的挑战 数据规模开源库数量选择几万个常用C/C+开源软件仓库仓库版本数量SCA需要精确到版本，因而构建数据库需要枚举Repo下的所有版本函数数量函数特征是SCA算法分析的基本数据十亿级数据十亿个函数，及其为所属的Repo和Tag，数据大小达到到TB级别=1.数据总量大：C/C+数据量已达到TB级别，数据量会持续增大2.数据交接流转：数据团队管理，算法团队研究需要（全量）数据，算法团队对数据的迭代扩散到研发团队，生产入库。生产环境中全是热点数据，没办法做冷热分离存储。3.数据完