本文分享了腾讯云产品安全负责人张祖优在CIS2021网络安全创新大会上的演讲,探讨了腾讯云在DevSecOps和开源治理方面的实践经验。面对多样化的研发体系和众多产品,腾讯云采取全生命周期安全收敛方式,通过DevSecOps提升安全效率,强调安全左移和文化建设。在开源治理方面,腾讯云注重情报获取、研判、影响面清查和修复,以及组件识别与安全管控。
近日,CIS2021网络安全创新大会DevSecOps应用与技术专场在上海成功举办。本次专场由DevSecOps敏捷安全领导者——悬镜安全的创始人兼CEO子芽出品,聚焦DevSecOps的技术发展和应用实践。会上,多位专家结合自身研究或业务进行了主题演讲和圆桌论坛,精彩纷呈。其中,腾讯云产品安全负责人、腾讯安全云鼎实验室安全总监张祖优分享了腾讯云在DevSecOps以及开源治理方面的实践经验,以下为演讲实录:
这次我演讲的主题是“腾讯云过往的DevSecOps实践”。先做一个简单的自我介绍,我现在是在腾讯安全云鼎实验室,做云安全以及负责腾讯云产品的安全保障工作。
首先分享一下腾讯云安全工作的挑战。互联网公司与传统公司比如金融公司有个很大的区别点是,整体的基础设施和研发体系不统一,不同部门、不同中心的研发体系都是不一样的,而且腾讯内部有很多DevOps平台或者代码分析平台。此外,腾讯云上有300多种一类产品,细分到二类或是子级的产品数量会更多。所以我们在做整个业务线或者事业群的产品安全时,挑战都是比较大的,比较难落地。设想一下,安全需要落于研发和运维体系之中,如果研发和运维体系不够统一,那么安全自然是比较难落地的,所以对于整个腾讯云产品安全体系的建设,我们在思考到底以哪种方式去做。在比较早期的时候,我们采取的是漏洞防御体系,更多是从漏洞收敛的角度,主要以人工的漏洞挖掘为主,这种方式虽然快并且效果明显,在早期可能比较适用,但是后期会发现,这种方式其实是有疏漏的,所以我们现在采用的更多是全生命周期的收敛方式。
下图是我们基于风险引入流程梳理的体系图,分为风险引入、风险发现与防护、响应处置和闭环改进四个维度,基本涵盖了产品安全各个维度能进行的活动。
基于风险引入流程进行收敛
在整体的建设过程中,我们分了4个阶段。
因为可能跟传统厂商一样,我们更需要做到反入侵,所以在第零阶段,我们做的是边界管控,针对一些对外开放的资产,比如外网IP、域名等。在随后的第一阶段,就是从无到有地补齐安全能力与安全活动。
最低0.47元/天 解锁文章
684
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
