OPPO互联网DevSecOps实践
OPPO子午互联网安全实验室 沈海涛
一、前言
伴随着移动互联网技术的高速发展,如何保障产品的安全与隐私合规成为了一个严峻的挑战。尤其是在产品复杂度高、更新迭代快的现状下,如何应对挑战,已经成为了企业发展必须要慎重考虑的问题。以OPPO为例,OPPO仅ColorOS全球月活用户数就达到了3.7亿+。产品形态覆盖 Web APP、Android APP、 iOS APP、快应用、SDK、IoT等,日变更1000+次。本文将以OPPO安全应对行业挑战所作出的实践为例,重点介绍OPPO互联网DevSecOps实践,更准确的说是从传统SDL到DevSecOps转型的实践。
不能免俗,先放概览。
本文将从以下几个方面展开:安全活动融入研发流程、安全防护平台建设、安全文化建设、外部合作以及持续精进。
二、安全活动融入研发流程
安全与隐私合规是企业存续发展的基石之一。基于DevSecOps的原则,安全活动需要贯穿研发流程的每一个环节,使安全与隐私合规成为各团队的共同责任。在现有的研发流程中,子午实验室开发了安全与隐私评测系统,并将安全活动融入到研发流程的不同阶段中,覆盖业务的大版本及涉及到安全与隐私重大变更的小版本。
1.制定流程规则
首先要解决的是融入研发流程的规则问题,以及如何进行卡点管控。我们一般会将产品的生命周期分为产品需求、架构设计、编码实现、测试、发布、运营等几个阶段。
在DevSecOps实施初期或者安全团队组建的初期,想要覆盖产品的全部生命周期是很困难的,这个阶段需要解决面的问题,抓大放小,因此会选取一些关键的节点进行管控。
我们选取了三个强流程进行卡点:产品需求阶段进行隐私合规评审,产品发布前进行安全测试&隐私合规测试,这样基本上保障了产品的安全与隐私的基线要求。如下图所示:
之所以选取隐私合规评审作为强流程卡点是由于业务形态所致,OPPO是一家全球化的公司,产品和服务覆盖全球几十个国家和地区,面临巨大的隐私合规挑战,比如欧盟区域的 GDPR等。
隐私合规评审可以在产品设计需求阶段就满足合规要求,避免上线前检测不合规造成的业务返工及大量的改造成本。同时我们还在上线前进行了安全测试和隐私合规测试来强卡点,业务必须满足安全与隐私质量标准才能够上线。
另外在流程规则中要考虑介入的深度和范围。深度越深&#x
最低0.47元/天 解锁文章
154
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
