Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训

嘉宾简介:张玉东(黄眉)
淘宝技术保障部技术安全主管,负责淘宝信息安全体系建设和日常的安全支持与维护。
主要内容:SDL在传统软件行业已经日趋成熟,但是在互联网公司中还是一个比较新鲜的概念。本文将从传统软件行业推行SDL和在互联网公司的区别入手,阐 述在互联网公司推行SDL所面临的挑战,分享我们在推行SDL过程中积累的一些经验教训。

  • Be the first to comment

在互联网公司推行SDL(Security Development Lifecycle)的一些经验和教训

  1. 1. 在互联网公司推行SDL 日 期:2010年6月25日 汇报人:张玉东 邮 箱:huangmei@taobao.com 1
  2. 2. 什么是SDL • SDL –Security Development Lifecycle 培训 需求分析 设计 实现 验证 发布 响应 线上扫描 开发框架 上线确认 攻击面 Fuzzing 线上监控 针对性培训 风险评估 编码规范 遗留问题 漏洞处理 分析 代码评审 代码扫描 信息记录 应急响应 2
  3. 3. 今天讲什么? • 与传统软件行业的SDL有何区别 • 为什么需要SDL • 威胁建模 • 推行SDL有什么困难和挑战 • 一些经验 3
  4. 4. 与传统软件行业的SDL有何区别 • 项目小所以开发周期短 • 产品上线更频繁 • 威胁模型需要基于整个互联网去考虑 – 网络安全 – 系统安全 – 应用安全 – 信息安全 4
  5. 5. 为什么需要SDL • 从产品研发各阶段把握项目安全性 • 使安全贴近业务,做到与时俱进 • 是所有安全规范/策略/机制的展现窗口 5
  6. 6. 威胁建模 威胁 威胁 需求 需求 设计 设计 开发 开发 部署 部署 下线 下线 信息分级 数据加密 XSS 配置管理 数据备份 三方合作 认证授权 SQL注入 密钥管理 资源回收 Anti-Abuse 日志审计 CSRF 版本控制 敏感信息 欺诈钓鱼 风险分离 文件上传 ….. ….. ….. ….. ….
  7. 7. 威胁建模方法 主动发现 问题处理 外部反馈 归 纳 馈 反 ? SDL 安全规范 实 现 广 推 安全平台
  8. 8. 推行SDL有什么困难和挑战 • 增加研发成本 • 覆盖率问题 • 威胁模型需要不断的扩充 • 产品数量大(400+) • 发布频繁(每周100) • 外部环境恶劣,独善其身远远不够 8
  9. 9. 推行过程中的一些经验 • 以研发流程为基础 • 依托流程管理部门去推动流程 • 前期沟通很重要 • 发展部门接口人 • 尽量获得研发部门高层的支持 9
  10. 10. Q&A 10
  11. 11. 欢迎大家到淘宝购物! 谢谢大家!

×