Taobao 100702070730-phpapp01

326 views
141 views

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
326
On SlideShare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
3
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Taobao 100702070730-phpapp01

  1. 1. 1在互联网公司推行在互联网公司推行SDLSDL日日 期:期:20102010年年66月月2525日日汇报人:张玉东汇报人:张玉东邮邮 箱:箱:huangmei@taobao.comhuangmei@taobao.com
  2. 2. 2什么是什么是SDLSDL• SDL–Security Development Lifecycle培训培训 需求分析需求分析 设计设计 实现实现 发布发布验证验证 响应响应针对性培训针对性培训 风险评估风险评估攻击面攻击面分析分析开发框架开发框架编码规范编码规范代码扫描代码扫描FuzzingFuzzing代码评审代码评审上线确认上线确认遗留问题遗留问题信息记录信息记录线上扫描线上扫描线上监控线上监控漏洞处理漏洞处理应急响应应急响应
  3. 3. 3今天讲什么?今天讲什么?• 与传统软件行业的SDL有何区别• 为什么需要SDL• 威胁建模• 推行SDL有什么困难和挑战• 一些经验
  4. 4. 4与传统软件行业的与传统软件行业的SDLSDL有何区别有何区别• 项目小所以开发周期短• 产品上线更频繁• 威胁模型需要基于整个互联网去考虑– 网络安全– 系统安全– 应用安全– 信息安全
  5. 5. 5为什么需要为什么需要SDLSDL• 从产品研发各阶段把握项目安全性• 使安全贴近业务,做到与时俱进• 是所有安全规范/策略/机制的展现窗口
  6. 6. 威胁建模威胁建模威胁威胁威胁需求需求需求 设计设计设计 开发开发开发 部署部署部署 下线下线下线信息分级信息分级三方合作三方合作AntiAnti--AbuseAbuse欺诈钓鱼欺诈钓鱼……....数据加密数据加密认证授权认证授权日志审计日志审计风险分离风险分离XSSXSSSQLSQL注入注入CSRFCSRF文件上传文件上传……..配置管理配置管理密钥管理密钥管理版本控制版本控制……....数据备份数据备份资源回收资源回收敏感信息敏感信息……....……....
  7. 7. 威胁建模方法威胁建模方法安全规范安全规范问题处理问题处理SDLSDL安全平台安全平台?归纳实现推广反馈主动发现主动发现外部反馈外部反馈
  8. 8. 8推行推行SDLSDL有什么困难和挑战有什么困难和挑战• 增加研发成本• 覆盖率问题• 威胁模型需要不断的扩充• 产品数量大(400+)• 发布频繁(每周100)• 外部环境恶劣,独善其身远远不够
  9. 9. 9推行过程中的一些经验推行过程中的一些经验• 以研发流程为基础• 依托流程管理部门去推动流程• 前期沟通很重要• 发展部门接口人• 尽量获得研发部门高层的支持
  10. 10. 10Q&A
  11. 11. 欢迎大家到淘宝购物!欢迎大家到淘宝购物!谢谢大家!谢谢大家!

×