暖暖无码,开心激情站,亚洲黄色视频网站免费在线观看,免费黄色一级电影,欧美亚洲色综久久精品国产,青青草视频网在线观看,777色色,校园激情一区二区三区

內(nèi)容來源：OPPO安全應(yīng)急響應(yīng)中心子午安全實(shí)驗(yàn)室
作者：沈海濤

前言

伴隨著移動(dòng)互聯(lián)網(wǎng)技術(shù)的高速發(fā)展，如何保障產(chǎn)品的安全與隱私合規(guī)成為了一個(gè)嚴(yán)峻的挑戰(zhàn)。尤其是在產(chǎn)品復(fù)雜度高、更新迭代快的現(xiàn)狀下，如何應(yīng)對(duì)挑戰(zhàn)，已經(jīng)成為了企業(yè)發(fā)展必須要慎重考慮的問題。以O(shè)PPO為例，OPPO僅ColorOS全球月活用戶數(shù)就達(dá)到了3.7億+。產(chǎn)品形態(tài)覆蓋 Web APP、Android APP、 iOS APP、快應(yīng)用、SDK、IoT等，日變更1000+次。本文將以O(shè)PPO安全應(yīng)對(duì)行業(yè)挑戰(zhàn)所作出的實(shí)踐為例，重點(diǎn)介紹OPPO互聯(lián)網(wǎng)DevSecOps實(shí)踐，更準(zhǔn)確的說是從傳統(tǒng)SDL到DevSecOps轉(zhuǎn)型的實(shí)踐。

不能免俗，先放概覽

本文將從以下幾個(gè)方面展開：安全活動(dòng)融入研發(fā)流程、安全防護(hù)平臺(tái)建設(shè)、安全文化建設(shè)、外部合作以及持續(xù)精進(jìn)。

一、安全活動(dòng)融入研發(fā)流程

安全與隱私合規(guī)是企業(yè)存續(xù)發(fā)展的基石之一?；贒evSecOps的原則，安全活動(dòng)需要貫穿研發(fā)流程的每一個(gè)環(huán)節(jié)，使安全與隱私合規(guī)成為各團(tuán)隊(duì)的共同責(zé)任。在現(xiàn)有的研發(fā)流程中，子午實(shí)驗(yàn)室開發(fā)了安全與隱私評(píng)測(cè)系統(tǒng)，并將安全活動(dòng)融入到研發(fā)流程的不同階段中，覆蓋業(yè)務(wù)的大版本及涉及到安全與隱私重大變更的小版本。

1.1 制定流程規(guī)則

首先要解決的是融入研發(fā)流程的規(guī)則問題，以及如何進(jìn)行卡點(diǎn)管控。我們一般會(huì)將產(chǎn)品的生命周期分為產(chǎn)品需求、架構(gòu)設(shè)計(jì)、編碼實(shí)現(xiàn)、測(cè)試、發(fā)布、運(yùn)營等幾個(gè)階段。

在DevSecOps實(shí)施初期或者安全團(tuán)隊(duì)組建的初期，想要覆蓋產(chǎn)品的全部生命周期是很困難的，這個(gè)階段需要解決面的問題，抓大放小，因此會(huì)選取一些關(guān)鍵的節(jié)點(diǎn)進(jìn)行管控。

我們選取了三個(gè)強(qiáng)流程進(jìn)行卡點(diǎn)：產(chǎn)品需求階段進(jìn)行隱私合規(guī)評(píng)審，產(chǎn)品發(fā)布前進(jìn)行安全測(cè)試&隱私合規(guī)測(cè)試，這樣基本上保障了產(chǎn)品的安全與隱私的基線要求。如下圖所示：

之所以選取隱私合規(guī)評(píng)審作為強(qiáng)流程卡點(diǎn)是由于業(yè)務(wù)形態(tài)所致，OPPO是一家全球化的公司，產(chǎn)品和服務(wù)覆蓋全球幾十個(gè)國家和地區(qū)，面臨巨大的隱私合規(guī)挑戰(zhàn)，比如歐盟區(qū)域的 GDPR等。

隱私合規(guī)評(píng)審可以在產(chǎn)品設(shè)計(jì)需求階段就滿足合規(guī)要求，避免上線前檢測(cè)不合規(guī)造成的業(yè)務(wù)返工及大量的改造成本。同時(shí)我們還在上線前進(jìn)行了安全測(cè)試和隱私合規(guī)測(cè)試來強(qiáng)卡點(diǎn)，業(yè)務(wù)必須滿足安全與隱私質(zhì)量標(biāo)準(zhǔn)才能夠上線。

另外在流程規(guī)則中要考慮介入的深度和范圍。深度越深，范圍越大意味著安全的工作量越大，業(yè)務(wù)的感知越強(qiáng)烈，對(duì)業(yè)務(wù)效率的影響也會(huì)越大。目前我們的策略是，安全流程強(qiáng)制覆蓋新業(yè)務(wù)或者老業(yè)務(wù)的大版本，其他的版本由業(yè)務(wù)架構(gòu)師根據(jù)我們的指引（checklist）進(jìn)行自評(píng)，由業(yè)務(wù)自行判定是否走安全流程，這樣既保證了能夠消除大部分風(fēng)險(xiǎn)，又兼顧了業(yè)務(wù)效率。

1.2 IT系統(tǒng)支撐

流程有了，接下來就是要保障流程能夠順利落地執(zhí)行，靠人來跟進(jìn)無論是在覆蓋度上，還是效率上都是不靠譜的，于是我們構(gòu)建了DevSecOps的IT支撐系統(tǒng)，即將安全流程融入到 CI/CD 系統(tǒng)中。

如下圖所示，我們將安全活動(dòng)融入到CI/CD流水線中，以后端流水線為例，在構(gòu)建階段會(huì)進(jìn)行源代碼安全掃描，在部署測(cè)試集成階段會(huì)進(jìn)行后端動(dòng)態(tài)安全掃描（IAST），上線之前會(huì)進(jìn)行安全評(píng)測(cè)，包括安全測(cè)試和隱私合規(guī)測(cè)試。而且這個(gè)流水線是可編輯和配置的，后續(xù)可以按需加入更多的自動(dòng)化掃描或者其他安全活動(dòng)。

同時(shí)，開發(fā)進(jìn)入CI系統(tǒng)時(shí)候，會(huì)自動(dòng)檢測(cè)當(dāng)前的開發(fā)是否進(jìn)行過需求評(píng)審，如果沒有的話會(huì)進(jìn)行提示。在安全測(cè)試和隱私合規(guī)測(cè)試階段會(huì)檢測(cè)是否進(jìn)行過需求評(píng)審，如果沒有的話則無法提測(cè)。

我們開展的需求評(píng)審可以認(rèn)為是輕量級(jí)的威脅建模，通過詳盡的引導(dǎo)式提示做到業(yè)務(wù)自助式操作，極大減輕了安全的溝通工作量。

而評(píng)審系統(tǒng)里面的檢查項(xiàng)是抽取了《安全&隱私標(biāo)準(zhǔn)規(guī)范》中的部分重點(diǎn)內(nèi)容,主要的標(biāo)準(zhǔn)規(guī)范如下：

1.3 自動(dòng)化能力構(gòu)建

在DevSecOps 中純粹靠堆人力是很難適應(yīng)DevOps的快節(jié)奏的，自動(dòng)化能力構(gòu)建是必經(jīng)之路。子午實(shí)驗(yàn)室在以下幾方面構(gòu)建了自動(dòng)化能力,大部分自動(dòng)化能力已經(jīng)融入到了CI/CD流程中：

靜態(tài)源代碼掃描（SAST）
后端動(dòng)態(tài)自動(dòng)安全測(cè)試（IAST）
開源組件黑名單檢測(cè)（SCA）
安卓APP靜態(tài)安全與隱私合規(guī)掃描
安卓APP動(dòng)態(tài)安全與隱私掃描
安卓SDK特征掃描

… …

靜態(tài)源代碼掃描（SAST）：檢測(cè)能力覆蓋主流的開發(fā)語言，目前支持商業(yè)與自研的多個(gè)掃描引擎，并支持增量掃描，后續(xù)會(huì)支持IDE插件形式掃描。

后端動(dòng)態(tài)自動(dòng)安全測(cè)試（IAST）：覆蓋OPPO主流的后端開發(fā)語言，融入測(cè)試階段，在做功能測(cè)試的同時(shí)完成安全掃描，極大提升了效率。

開源組件黑名單檢測(cè)（SCA）：融入到CI系統(tǒng)的構(gòu)建流程，黑名單由子午的安全攻防人員維護(hù)，業(yè)務(wù)代碼構(gòu)建階段如果命中規(guī)則需要修復(fù)之后才能夠成功構(gòu)建。

安卓APP靜態(tài)安全與隱私合規(guī)掃描系統(tǒng)：能夠同時(shí)進(jìn)行安全漏洞掃描、安全編碼規(guī)范及隱私合規(guī)檢測(cè)的掃描。目前主要提供給安全及隱私測(cè)試人員使用，后續(xù)會(huì)考慮推廣給研發(fā)及測(cè)試人員使用或者融入到CI/CD中。

安卓APP動(dòng)態(tài)安全與隱私掃描：主要覆蓋靜態(tài)檢測(cè)無法無蓋的場(chǎng)景，比如提前聯(lián)網(wǎng)、檢測(cè)加固應(yīng)用的行為等，目前處于內(nèi)測(cè)階段。

安卓SDK特征掃描：會(huì)掃描APP中使用到的SDK名稱、版本、允許上線區(qū)域、歷史漏洞等信息，目前處于內(nèi)測(cè)階段，后續(xù)會(huì)融入到研發(fā)流程中。

二、基礎(chǔ)安全防護(hù)產(chǎn)品及服務(wù)

在業(yè)務(wù)的生命周期中，是離不開基礎(chǔ)安全防護(hù)的，我們在主機(jī)層、網(wǎng)絡(luò)層、應(yīng)用層等提供了多維度的安全檢測(cè)、防護(hù)產(chǎn)品和服務(wù)，保障OPPO的基礎(chǔ)安全。

主機(jī)層：主機(jī)入侵檢測(cè)（哨兵）、態(tài)勢(shì)感知（諦聽）；
網(wǎng)絡(luò)層：安全網(wǎng)關(guān)（云盾）、流量檢測(cè)系統(tǒng)（鷹眼）、動(dòng)態(tài)防火墻、DDoS防護(hù)系統(tǒng)（金堤）；
應(yīng)用層：秘鑰管理服務(wù)、業(yè)務(wù)風(fēng)控（天御）、驗(yàn)證碼服務(wù)、安全組件（OSK）。

三、安全文化建設(shè)

DevSecOps 中需要明確，安全與隱私不再單獨(dú)是安全團(tuán)隊(duì)的責(zé)任，而應(yīng)該是產(chǎn)品、開發(fā)、安全、運(yùn)維等協(xié)同合作共同負(fù)責(zé)，以期達(dá)到“上線前安全賦能業(yè)務(wù)，上線后業(yè)務(wù)支持安全”的局面，為此我們做了以下的工作：

成立了公司級(jí)的安全與隱私委員會(huì)，將業(yè)務(wù)部門的負(fù)責(zé)人納入其中，在組織制度上保障安全與隱私策略的推動(dòng)實(shí)施。
建立了安全與隱私合規(guī)代表制度，安全與隱私合規(guī)代表由業(yè)務(wù)部門專人擔(dān)任，確保安全與隱私要求在部門落地。
將安全與隱私寫入互聯(lián)網(wǎng)產(chǎn)品觀：“發(fā)自內(nèi)心的尊重用戶的隱私與安全，而不僅僅是因?yàn)榉傻募s束”。
常態(tài)化的培訓(xùn)賦能。一方面，對(duì)主管層開展“安全與隱私合規(guī)應(yīng)知應(yīng)會(huì)”培訓(xùn)。另一方面，定期開展安全與隱私知識(shí)宣導(dǎo)。通過培訓(xùn)、內(nèi)部發(fā)文等形式開展安全與隱私知識(shí)培訓(xùn)。

四、外部合作

安全是一項(xiàng)體系化工作，我們積極保持與業(yè)界的聯(lián)系，引入業(yè)界先進(jìn)安全能力，同時(shí)也希望能夠?yàn)榘踩缱鲆恍┴暙I(xiàn)：

成立了 OPPO安全應(yīng)急響應(yīng)中心(OSRC) ，并與多個(gè)漏洞提交平臺(tái)合作，與全球安全研究者一起守護(hù)OPPO用戶的安全。
積極與高校和業(yè)界安全廠商合作，通過聯(lián)合實(shí)驗(yàn)室、項(xiàng)目合作、產(chǎn)學(xué)研等方式在部分重點(diǎn)技術(shù)領(lǐng)域上進(jìn)行攻關(guān)與合作。?
積極參與安全與隱私領(lǐng)域權(quán)威認(rèn)證，檢驗(yàn)成果。目前已經(jīng)通過TrustArc、eprivacy、ISO/IEC 27018:2014、ISO/IEC 29151:2017、ISO/IEC 27001:2013、CSA Star、泰爾信息安全五級(jí)認(rèn)證、等保三級(jí)、ISO/IEC 27701:2019等認(rèn)證。同時(shí)我們還通過其他測(cè)評(píng)機(jī)構(gòu)來評(píng)估DevSecOps的成熟度，以便改進(jìn)。
在安全研究過程中，提報(bào)安卓系統(tǒng)、Netty、RocketMQ、Chrome、Safari、等多個(gè)安全問題，并獲得廠商公開致謝及CVE。
參與 DIMVA 、ISC 等多個(gè)安全會(huì)議并做分享，開展多次校園行安全分享交流活動(dòng)。

五、持續(xù)精進(jìn)

目前，OPPO互聯(lián)網(wǎng)已經(jīng)初步建立起了 DevSecOps 體系，但還處于起步階段，還有很多工作需要做。

5.1 自動(dòng)化能力更加完善

自動(dòng)化能力主要體現(xiàn)在安全與隱私問題消除率和業(yè)務(wù)效率影響兩個(gè)方面。問題消除率越高，業(yè)務(wù)效率影響越小我們認(rèn)為自動(dòng)化的能力越強(qiáng)。

可以從以下幾個(gè)方面入手：

持續(xù)優(yōu)化檢測(cè)方法和規(guī)則，降低誤報(bào)率和漏報(bào)率；自動(dòng)化能力要覆蓋關(guān)鍵的流程；持續(xù)優(yōu)化自動(dòng)化的用戶體驗(yàn)。
持續(xù)關(guān)注業(yè)界技術(shù)動(dòng)態(tài)，及時(shí)覆蓋新的漏洞模型，引入新的檢測(cè)技術(shù)或方法，覆蓋更多的產(chǎn)品形態(tài)；
持續(xù)運(yùn)營自動(dòng)化工具，在業(yè)務(wù)使用過程中優(yōu)化檢測(cè)規(guī)則；
逐步將 Docker 安全掃描作為強(qiáng)流程管控，覆蓋安全基線掃描；
提早暴露安全風(fēng)險(xiǎn)，將安全掃描集成到IDE開發(fā)環(huán)境中，將安全掃描工具使用賦能給開發(fā)及測(cè)試，甚至將安全與隱私測(cè)試融入到功能測(cè)試中。

5.2 基礎(chǔ)設(shè)施即安全，默認(rèn)安全原則

打造安全的基礎(chǔ)設(shè)施，并采取默認(rèn)安全配置的原則，讓業(yè)務(wù)只關(guān)心業(yè)務(wù)層面的安全與隱私。

保障基礎(chǔ)開發(fā)框架的安全；
將安全庫集成到開發(fā)框架中，并默認(rèn)配置；
提供默認(rèn)安全的鏡像、操作系統(tǒng)、中間件；
提供默認(rèn)安全的通用組件，比如封裝WebView安全組件；
將安全檢測(cè)及監(jiān)控能力融入到基礎(chǔ)設(shè)施中。

5.3 持續(xù)開展安全文化建設(shè)

持續(xù)打造業(yè)務(wù)、安全、運(yùn)維協(xié)同開展安全與隱私合規(guī)工作的文化氛圍：

安全團(tuán)隊(duì)持續(xù)關(guān)注業(yè)界安全與隱私技術(shù)及趨勢(shì)，消化吸收，轉(zhuǎn)化為內(nèi)部能力；
持續(xù)將安全與隱私合規(guī)能力賦能給產(chǎn)品、開發(fā)、測(cè)試及運(yùn)維人員；
逐步將安全與隱私合規(guī)測(cè)試人工流程轉(zhuǎn)化為自動(dòng)化流程；
將大部分的安全與隱私檢測(cè)項(xiàng)工具化，并推廣給開發(fā)和測(cè)試人員使用；
通過“安全藍(lán)軍”來覆蓋自動(dòng)化工具無法覆蓋的部分。

最終形成安全團(tuán)隊(duì)承擔(dān)咨詢、洞察、藍(lán)軍、能力輸出等角色，業(yè)務(wù)、測(cè)試及運(yùn)維等通過安全的持續(xù)賦能，達(dá)到主動(dòng)保障業(yè)務(wù)安全與隱私，形成“上線前安全賦能業(yè)務(wù)，上線后業(yè)務(wù)支持安全”的局面，建立一個(gè)良性循環(huán)。

回顧OPPO安全在DevSecOps 實(shí)踐過程中所遇到的挑戰(zhàn)，可以再次肯定，安全不是某一部門的責(zé)任，更不是在開發(fā)后期引入就可以解決問題的。在DevSecOps 體系框架下，安全防護(hù)需要貫穿業(yè)務(wù)整個(gè)生命周期的每一個(gè)環(huán)節(jié)。

面對(duì)萬物互融的浪潮，云計(jì)算、大數(shù)據(jù)及人工智能等核心技術(shù)的發(fā)展，在帶動(dòng)科技發(fā)展的同時(shí)，必將給安全帶來極大的挑戰(zhàn)，如何保證業(yè)務(wù)高效、穩(wěn)定、安全的發(fā)展，將是我們需要共同思考及長期實(shí)踐的問題。OPPO安全將秉持對(duì)用戶高度負(fù)責(zé)的態(tài)度，在安全與隱私的道路上持續(xù)耕耘，成為有擔(dān)當(dāng)?shù)陌踩珗F(tuán)隊(duì)。

金九銀十，IDCF【冬哥有話說】9月特別邀請(qǐng)到四位來自金融公司的嘉賓，分別帶來金融行業(yè)DevOps實(shí)踐、金融產(chǎn)品運(yùn)營、業(yè)務(wù)創(chuàng)新及規(guī)?；艚菟膫€(gè)主題分享。

本周四晚8點(diǎn)，【冬哥有話說之金九銀十】邀請(qǐng)到企業(yè)數(shù)字化轉(zhuǎn)型實(shí)施專家王可新老師分享《To B金融產(chǎn)品運(yùn)營體系解析》，識(shí)別下圖二維碼回復(fù)“金九銀十”即可獲取直播地址~

OPPO互聯(lián)網(wǎng)DevSecOps實(shí)踐 | IDCF