Uploaded byzhiyanhui
1,008 views

在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训

文档介绍了安全开发生命周期(SDL)在互联网公司的实施,强调了与传统软件行业的区别和推行SDL的必要性。讨论了威胁建模及其挑战,并分享了在推行过程中的经验。SDLC的推行过程需要关注研发流程和与部门之间的沟通。

Embed presentation

Downloaded 60 times
在互联网公司推行SDL 日 期:2010年6月25日 汇报人:张玉东 邮 箱:huangmei@taobao.com 1
什么是SDL • SDL –Security Development Lifecycle 培训 需求分析 设计 实现 验证 发布 响应 线上扫描 开发框架 上线确认 攻击面 Fuzzing 线上监控 针对性培训 风险评估 编码规范 遗留问题 漏洞处理 分析 代码评审 代码扫描 信息记录 应急响应 2
今天讲什么? • 与传统软件行业的SDL有何区别 • 为什么需要SDL • 威胁建模 • 推行SDL有什么困难和挑战 • 一些经验 3
与传统软件行业的SDL有何区别 • 项目小所以开发周期短 • 产品上线更频繁 • 威胁模型需要基于整个互联网去考虑 – 网络安全 – 系统安全 – 应用安全 – 信息安全 4
为什么需要SDL • 从产品研发各阶段把握项目安全性 • 使安全贴近业务,做到与时俱进 • 是所有安全规范/策略/机制的展现窗口 5
威胁建模 威胁 威胁 需求 需求 设计 设计 开发 开发 部署 部署 下线 下线 信息分级 数据加密 XSS 配置管理 数据备份 三方合作 认证授权 SQL注入 密钥管理 资源回收 Anti-Abuse 日志审计 CSRF 版本控制 敏感信息 欺诈钓鱼 风险分离 文件上传 ….. ….. ….. ….. ….
威胁建模方法 主动发现 问题处理 外部反馈 归 纳 馈 反 ? SDL 安全规范 实 现 广 推 安全平台
推行SDL有什么困难和挑战 • 增加研发成本 • 覆盖率问题 • 威胁模型需要不断的扩充 • 产品数量大(400+) • 发布频繁(每周100) • 外部环境恶劣,独善其身远远不够 8
推行过程中的一些经验 • 以研发流程为基础 • 依托流程管理部门去推动流程 • 前期沟通很重要 • 发展部门接口人 • 尽量获得研发部门高层的支持 9
Q&A 10
欢迎大家到淘宝购物! 谢谢大家!

More Related Content

PDF
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
byNSFOCUS
 
PPSX
社團法人高雄市社區大學促進會資訊專員林鑫佑的分享(7/27)
by開拓文教基金會
 
PDF
滲透測試資訊安全顧問服務
byWanhung Chou
 
PDF
基礎網頁程式攻擊檢驗
byTaien Wang
 
PDF
20210928 #118 - 給非營利組織的資安自保手冊
byNet Tuesday Taiwan
 
PPSX
林合昕:雲端運用案例分享-從協助單位導入O365角度@2019 非營利組織資訊運用座談會(高雄場)
by開拓文教基金會
 
PDF
Hiiir 資安講座 II 使安全成為軟體開發的一部分
byHiiir Lab
 
PDF
HITCON GIRLS 資安萌芽推廣 2017: 從 CVE 找材料
byHITCON GIRLS
 
Rsa2012 下一代安全的战略思考-绿盟科技赵粮
byNSFOCUS
 
社團法人高雄市社區大學促進會資訊專員林鑫佑的分享(7/27)
by開拓文教基金會
 
滲透測試資訊安全顧問服務
byWanhung Chou
 
基礎網頁程式攻擊檢驗
byTaien Wang
 
20210928 #118 - 給非營利組織的資安自保手冊
byNet Tuesday Taiwan
 
林合昕:雲端運用案例分享-從協助單位導入O365角度@2019 非營利組織資訊運用座談會(高雄場)
by開拓文教基金會
 
Hiiir 資安講座 II 使安全成為軟體開發的一部分
byHiiir Lab
 
HITCON GIRLS 資安萌芽推廣 2017: 從 CVE 找材料
byHITCON GIRLS
 

What's hot

PPTX
20170427行政院資通安全處:「資通安全管理法」草案
byR.O.C.Executive Yuan
 
PDF
20140610 net tuesday - 行動裝置安全
byNet Tuesday Taiwan
 
PPT
F:\960109資訊安全教育訓練講義
bybv8af7
 
PDF
使安全成為軟體開發必要部分
byTaien Wang
 
PDF
個人電腦/網站的資訊安全:給非營利組織的建議
byNet Tuesday Taiwan
 
PDF
Net iq sentinel log manager (work shop)
by零壹科技股份有限公司
 
PPTX
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
byChinaNetCloud
 
PDF
Symantec Endpoint Protection 12.1
by零壹科技股份有限公司
 
PDF
黃健瑋(解決方案架構師):Microsoft 365 資安快易通
by開拓文教基金會
 
PDF
分会场四服务器安全防护的意义与价值
byITband
 
PPT
Compliance & IT
byBilly Lee
 
PPTX
安全托管服务MSS
by建琪 褚
 
PPTX
資訊安全入門
byTyler Chen
 
PDF
iThome 資安大會 2019 駭客如何利用公開工具在內部網路中暢行無阻 - YCY.pdf
byHITCON GIRLS
 
PDF
陳啟亮:行動載具時代的NGO網站設計
by開拓文教基金會
 
PDF
資安健檢因應配套
byGalaxy Software Services
 
PDF
議題三:政府網站常見弱點與分析
byNicolas su
 
PDF
系統05_從持續整合結合安全開發與變更管理 郭俐佳
byGalaxy Software Services
 
PDF
HITCON GIRLS 資安萌芽推廣 2017: 從研究生轉職資安工程師 - 蜘子珣
byHITCON GIRLS
 
PPTX
.NET Security Application/Web Development - Part IV
byChen-Tien Tsai
 
20170427行政院資通安全處:「資通安全管理法」草案
byR.O.C.Executive Yuan
 
20140610 net tuesday - 行動裝置安全
byNet Tuesday Taiwan
 
F:\960109資訊安全教育訓練講義
bybv8af7
 
使安全成為軟體開發必要部分
byTaien Wang
 
個人電腦/網站的資訊安全:給非營利組織的建議
byNet Tuesday Taiwan
 
Net iq sentinel log manager (work shop)
by零壹科技股份有限公司
 
ChinaNetCloud Online Lecture: Fight Against External Attacks From Different L...
byChinaNetCloud
 
Symantec Endpoint Protection 12.1
by零壹科技股份有限公司
 
黃健瑋(解決方案架構師):Microsoft 365 資安快易通
by開拓文教基金會
 
分会场四服务器安全防护的意义与价值
byITband
 
Compliance & IT
byBilly Lee
 
安全托管服务MSS
by建琪 褚
 
資訊安全入門
byTyler Chen
 
iThome 資安大會 2019 駭客如何利用公開工具在內部網路中暢行無阻 - YCY.pdf
byHITCON GIRLS
 
陳啟亮:行動載具時代的NGO網站設計
by開拓文教基金會
 
資安健檢因應配套
byGalaxy Software Services
 
議題三:政府網站常見弱點與分析
byNicolas su
 
系統05_從持續整合結合安全開發與變更管理 郭俐佳
byGalaxy Software Services
 
HITCON GIRLS 資安萌芽推廣 2017: 從研究生轉職資安工程師 - 蜘子珣
byHITCON GIRLS
 
.NET Security Application/Web Development - Part IV
byChen-Tien Tsai
 

Viewers also liked

PPT
Fossoway Community Strategy Group: Strategy for Blairingone 2010
byJimp87
 
PPT
Civil society initiatives on engaging peace processes
byGenPeace
 
PDF
Results of our yearly consumption behaviour research.
byKatrien Barrat
 
PDF
C b-macpherson-the-life-and-times-of-liberal-democracy
byUniversity of Campinas
 
PPTX
Scaling web systems ts
bySathyanarayana Panduranga
 
DOCX
An Analysis of Emerging Markets". = Honors Thesis
bydre101
 
PDF
DTC THOR Associates
byTHOR associates
 
PDF
130221 alpro event21_feb13_changing consumer behaviour
byKatrien Barrat
 
PDF
Series 39 1935 Bombay high court case on Satpanth Issue
bySatpanth Dharm
 
PDF
Series 32 1945 -Umiya Mataji Vandhay Mandir -Inauguration
bySatpanth Dharm
 
PDF
February 2010 Issue 2
byLeeds Met India
 
PDF
Series 28 How to counter the threat posed by mavals
bySatpanth Dharm
 
PDF
Series 9 attachment -extract of relevant pages of satpanth atharv ved
bySatpanth Dharm
 
PDF
Series 27 reply to patidar sandesh's editorial dt. 10-oct-2010 -d
bySatpanth Dharm
 
PDF
Series 31 DNA -Ahmedabad 04-mar-2011 -Islamic practices, rituals and literature
bySatpanth Dharm
 
PPS
Speed Of Light
byOmar Touil
 
PDF
Anag
byGenPeace
 
PPTX
Tomateak
byEmsier
 
PDF
Designkunskap 2010 pass 2
byJoel Svedlund
 
PDF
Series 44 Momna of kutch -bombay presidency gazetter 1880
bySatpanth Dharm
 
Fossoway Community Strategy Group: Strategy for Blairingone 2010
byJimp87
 
Civil society initiatives on engaging peace processes
byGenPeace
 
Results of our yearly consumption behaviour research.
byKatrien Barrat
 
C b-macpherson-the-life-and-times-of-liberal-democracy
byUniversity of Campinas
 
Scaling web systems ts
bySathyanarayana Panduranga
 
An Analysis of Emerging Markets". = Honors Thesis
bydre101
 
DTC THOR Associates
byTHOR associates
 
130221 alpro event21_feb13_changing consumer behaviour
byKatrien Barrat
 
Series 39 1935 Bombay high court case on Satpanth Issue
bySatpanth Dharm
 
Series 32 1945 -Umiya Mataji Vandhay Mandir -Inauguration
bySatpanth Dharm
 
February 2010 Issue 2
byLeeds Met India
 
Series 28 How to counter the threat posed by mavals
bySatpanth Dharm
 
Series 9 attachment -extract of relevant pages of satpanth atharv ved
bySatpanth Dharm
 
Series 27 reply to patidar sandesh's editorial dt. 10-oct-2010 -d
bySatpanth Dharm
 
Series 31 DNA -Ahmedabad 04-mar-2011 -Islamic practices, rituals and literature
bySatpanth Dharm
 
Speed Of Light
byOmar Touil
 
Anag
byGenPeace
 
Tomateak
byEmsier
 
Designkunskap 2010 pass 2
byJoel Svedlund
 
Series 44 Momna of kutch -bombay presidency gazetter 1880
bySatpanth Dharm
 

Similar to 在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训

PDF
Taobao 100702070730-phpapp01
bydrewz lin
 
PDF
云安全防护的战略思考
bydrewz lin
 
PDF
Top100summit东软 孙广宇-uni sdp基于html5构建的跨平台的统一智能设备解决方案
bydrewz lin
 
PPTX
弹性计算云安全(Elastic Compute Cloud Security)
byim_yunshu
 
PDF
Web Engineering
byMingli Yuan
 
PDF
互联网公司web安全挑战与防护思路浅谈
byzhiyanhui
 
PDF
垂直互联网站点的技术改造
byDahui Feng
 
PDF
Resume - CV - Shanghai
byZac John
 
PDF
Top100summit用友 池建强-构建企业级应用开发平台
bydrewz lin
 
PDF
互联网用户隐私保护策略初探(修改版)
byrenren-security
 
PDF
分会场四It 治理、风险管理和法规遵从的一种整体实现方案
byITband
 
PPT
学术讲座
bycun
 
PDF
赤骥 用户研究入门
byjay li
 
PPT
铺开业务看应用防护
byJordan Pan
 
PDF
UCD在游戏行业中的生存与发展
bytop idea
 
PPTX
Request Management
bySun Wei
 
PDF
Ufida design-chijianqiang-qcon
byYiwei Ma
 
PPTX
如何监控、管理和考核你的IT服务交付
bydown123
 
PDF
Oracle总体技术架构解决方案
byjiangqiao
 
PDF
Solution ahn lab trusguard utm
byahnlabchina
 
Taobao 100702070730-phpapp01
bydrewz lin
 
云安全防护的战略思考
bydrewz lin
 
Top100summit东软 孙广宇-uni sdp基于html5构建的跨平台的统一智能设备解决方案
bydrewz lin
 
弹性计算云安全(Elastic Compute Cloud Security)
byim_yunshu
 
Web Engineering
byMingli Yuan
 
互联网公司web安全挑战与防护思路浅谈
byzhiyanhui
 
垂直互联网站点的技术改造
byDahui Feng
 
Resume - CV - Shanghai
byZac John
 
Top100summit用友 池建强-构建企业级应用开发平台
bydrewz lin
 
互联网用户隐私保护策略初探(修改版)
byrenren-security
 
分会场四It 治理、风险管理和法规遵从的一种整体实现方案
byITband
 
学术讲座
bycun
 
赤骥 用户研究入门
byjay li
 
铺开业务看应用防护
byJordan Pan
 
UCD在游戏行业中的生存与发展
bytop idea
 
Request Management
bySun Wei
 
Ufida design-chijianqiang-qcon
byYiwei Ma
 
如何监控、管理和考核你的IT服务交付
bydown123
 
Oracle总体技术架构解决方案
byjiangqiao
 
Solution ahn lab trusguard utm
byahnlabchina
 

在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训