在互联网公司推行SDL
     日 期:2010年6月25日
     汇报人:张玉东
     邮 箱:huangmei@taobao.com




                               1
什么是SDL
  • SDL
      –Security Development Lifecycle

 培训    需求分析    设计     实现     验证    发布    响应


                      ...
今天讲什么?
• 与传统软件行业的SDL有何区别
• 为什么需要SDL
• 威胁建模
• 推行SDL有什么困难和挑战
• 一些经验


                    3
与传统软件行业的SDL有何区别
 • 项目小所以开发周期短
 • 产品上线更频繁
 • 威胁模型需要基于整个互联网去考虑
  – 网络安全
  – 系统安全
  – 应用安全
  – 信息安全
                      4
为什么需要SDL
• 从产品研发各阶段把握项目安全性
• 使安全贴近业务,做到与时俱进
• 是所有安全规范/策略/机制的展现窗口




                       5
威胁建模
                       威胁
                       威胁



         需求
         需求     设计
                设计     开发
     ...
威胁建模方法
主动发现
                      问题处理
外部反馈
                             归
                              纳


          馈
 ...
推行SDL有什么困难和挑战
• 增加研发成本
• 覆盖率问题
• 威胁模型需要不断的扩充
• 产品数量大(400+)
• 发布频繁(每周100)
• 外部环境恶劣,独善其身远远不够

                    8
推行过程中的一些经验
• 以研发流程为基础
• 依托流程管理部门去推动流程
• 前期沟通很重要
• 发展部门接口人
• 尽量获得研发部门高层的支持


                  9
Q&A

      10
欢迎大家到淘宝购物!
   谢谢大家!
Upcoming SlideShare
Loading in …5
×

在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训

2,081 views

Published on

嘉宾简介:张玉东(黄眉)
淘宝技术保障部技术安全主管,负责淘宝信息安全体系建设和日常的安全支持与维护。
主要内容:SDL在传统软件行业已经日趋成熟,但是在互联网公司中还是一个比较新鲜的概念。本文将从传统软件行业推行SDL和在互联网公司的区别入手,阐 述在互联网公司推行SDL所面临的挑战,分享我们在推行SDL过程中积累的一些经验教训。

Published in: Technology, Education
0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
2,081
On SlideShare
0
From Embeds
0
Number of Embeds
17
Actions
Shares
0
Downloads
57
Comments
0
Likes
3
Embeds 0
No embeds

No notes for slide

在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训

  1. 1. 在互联网公司推行SDL 日 期:2010年6月25日 汇报人:张玉东 邮 箱:huangmei@taobao.com 1
  2. 2. 什么是SDL • SDL –Security Development Lifecycle 培训 需求分析 设计 实现 验证 发布 响应 线上扫描 开发框架 上线确认 攻击面 Fuzzing 线上监控 针对性培训 风险评估 编码规范 遗留问题 漏洞处理 分析 代码评审 代码扫描 信息记录 应急响应 2
  3. 3. 今天讲什么? • 与传统软件行业的SDL有何区别 • 为什么需要SDL • 威胁建模 • 推行SDL有什么困难和挑战 • 一些经验 3
  4. 4. 与传统软件行业的SDL有何区别 • 项目小所以开发周期短 • 产品上线更频繁 • 威胁模型需要基于整个互联网去考虑 – 网络安全 – 系统安全 – 应用安全 – 信息安全 4
  5. 5. 为什么需要SDL • 从产品研发各阶段把握项目安全性 • 使安全贴近业务,做到与时俱进 • 是所有安全规范/策略/机制的展现窗口 5
  6. 6. 威胁建模 威胁 威胁 需求 需求 设计 设计 开发 开发 部署 部署 下线 下线 信息分级 数据加密 XSS 配置管理 数据备份 三方合作 认证授权 SQL注入 密钥管理 资源回收 Anti-Abuse 日志审计 CSRF 版本控制 敏感信息 欺诈钓鱼 风险分离 文件上传 ….. ….. ….. ….. ….
  7. 7. 威胁建模方法 主动发现 问题处理 外部反馈 归 纳 馈 反 ? SDL 安全规范 实 现 广 推 安全平台
  8. 8. 推行SDL有什么困难和挑战 • 增加研发成本 • 覆盖率问题 • 威胁模型需要不断的扩充 • 产品数量大(400+) • 发布频繁(每周100) • 外部环境恶劣,独善其身远远不够 8
  9. 9. 推行过程中的一些经验 • 以研发流程为基础 • 依托流程管理部门去推动流程 • 前期沟通很重要 • 发展部门接口人 • 尽量获得研发部门高层的支持 9
  10. 10. Q&A 10
  11. 11. 欢迎大家到淘宝购物! 谢谢大家!

×