DevSecOps在腾讯云的落地实践

1、DevSecOps在腾讯云的落地实践从混沌到体系化目录CONTENTS1、腾讯云产品体系与安全挑战2、从边界建立起的安全防线3、基于风险控制的安全体系4、DevSecOps的尝试落地01 腾讯云产品体系与安全挑战庞大的体系与快速迭代50+产品分类，200+一级产品，2、3000二级产品最多日均近10个新产品上线，日常N个版本发布复杂的产品形态与研发场景自研、合作研发、OEM等SaaS、PaaS、IaaS专有云、私有云、公有云、混合云复杂的产品体系及人员组织多样化的技术栈与架构C、JAVA、GO、PHP、Python、NodeJSWeb应用、APP、客户端、小程序各种中间件、一些新型架构等多重组

2、织与人员结构总部、子公司、投资全资子公司、外部企业正式员工、驻场外包、子公司员工、研发外包跨公司、跨BG、跨部门、跨业务线、跨中心复杂的产品体系及人员组织多维度的安全挑战不同的研发与发布流程员工安全意识各不相同产品安全质量参差不齐无法约束外部引入风险跨团队的安全落地挑战安全跟不上产品发布产品需求发布大于安全工具与新架构的不匹配02 从边界建立起的安全防线当前核心关注点产品不出安全问题产品不出严重危害的安全问题产品不出简单易发现安全问题保障核心数据安全有效发现入侵事件，保障内网安全减少入侵入口安全管控域名申请安全审批管控腾讯云等域名的使用，减少域名滥用情况，降 低对腾讯云官网等的安全风险服务器外

3、网IP安全审批管控内网机器及服务的非必要/非安 全开放，减少黑客入侵入口在外，管控域名、外网IP的使用，减少非必要风险暴露面及攻击入口 在内，嵌入产品发布及项目流程，通过安全检查与评估收敛安全问题新产品上线安全检查与审批在产品上线流程嵌入安全检查流程，保障产品在 上线前已收敛大部分安全问题并做相关安全加固ToB场景需求的安全检查与审批针对ToB的一些如合作开发等特殊场景做安全评估、 检查与审批，避免非安全操作带来的数据泄露等损失121661232118331636131005007月8月9月10月11月测评版本数 发现漏洞数有限人力关注重点项目，黑盒测试基于流程进行自动化检查03 基于风险控制

4、的安全体系很多团队和业务同学有 足够的安全意识，但不 知道该做哪些事，怎么 做是正确的6篇发文规范，近30篇安全指引人工黑盒测试人工不定期模拟黑客攻击对 线上产品安全进行渗透测试人工代码审计 基于业务版本的 关键功能、API， 从代码层面审计 发现安全问题自动化代码审计对代码的自动化安全漏洞发现安全众测 通过邀请外部安全公司专业人员及外部白 帽子对线上产品进行安全测试和漏洞挖掘上线前自动化扫描基于测试环境测试流量的被动式Web漏洞 扫描，实现对上线前基础漏洞的发现收敛周期自动化巡检安全规范检查、Web漏扫基于线 上流量及域名的周期安全扫描安全合规审计 从等保等合规角度要求对指 定产品进行审查和

5、推动整改安全检查产品环境接 入云器测试测 试功能云器采 集请求安全扫 描请求发现产 品漏洞基于测试环境流量的上线前扫描赏金计划主机安全风险收敛01高危端口监控未知/不可控端口对外开放撕开了 企业安全防御体系的缺口02系统漏洞及风险服务巡检基于系统漏扫进行内网服务器的周 期巡检，发现系统及风险服务03风险服务运营收敛运营推动风险服务的修复与整改， 进而降低内网风险高危端口开放监测验5分钟常见高危端口快速扫描，1小时全端口扫描 全闭环运营流程，全自动化监控、告警、修复、 证，高效收敛高危端口开放问题。漏洞情报+资产测绘漏洞情报-资产测绘-推进修复信息泄露监测自动监测自研信息泄露监控系统， 进行自动

6、化监测事件确认通报及定级安全宣导发现泄露信息进行人工运营 确认，推动敏感信息删除根据泄露信息严重程度 进行通报和定级处理对事件责任人及团队进 行安全宣导和再培训应急响应漏洞 发现内部发现：自动化扫描、人工测试外部报告：TSRC、腾讯云官网安全中心漏洞 响应漏洞代码修复：协助修复、修复验证、同问题排查复盘修复安全防护：WAF防护、安全管控、数保项目整改漏洞跟踪：工单跟进、分类定级、通知、拉群处置 止损、分析：及时止损、分析成因意识提升：总结问题、经典案例、安全培训 整改措施：统计成因、统一措施整改漏洞响应流程运营统计安全演习发现安全风险提升安全意识检验防护能力强化安全体系04 DevSecOps

7、的尝试落地三个问题为什么要做？怎么做？先做什么？什么是DevSecOpsGartner 在2012年创建了“DevSecOps”的概念核心理念：安全是整个IT团队（包括开发、测试、运维及安全团队）所有成员的 责任，需要贯穿整个业务生命周期的每一个环节。 “每个人都对安全负责”安全工作前置，柔和嵌入现有开发流程体系。为什么要实践DevSecOpsDevOps已经是在逐步落地实践 而安全的滞后性会成为 DevOps的掣肘，DevSecOps 势在必行！研发测试发布运营为什么要前置？应用生命周期各阶段中，修复漏洞的成本随着开发生命周期推移而逐步上升X100X10X2从SDL到DevSecOps从SD

8、L到DevSecOps责任：安全团队安全较缓慢，也常置于流程之外大量的人工参与适用大部分业务SDL/传统安全责任：安全是每个人的责任柔性嵌入研发运维流程，自动化自动化流程，人更趋向于运营反馈 处理适用于周期较短，迭代较快的业务DevSecOps并不存在明显的冲突，只是进一步：流程融入、自动化、更多前置，安全文化DevSecOps三个关键点流程整合流程，定期做代码检查、红蓝对抗， 建立安全情报机制，有可度量衡的安全 指标，加强与业务部门的协作等技术构建对应的安全工具，实现更自动化的安全 检测，相关工具可以嵌入到CI/CD流程人和文化持续进行安全意识培训，鼓励团队自治，每个人为参与到安全，为安全负责，达成共识和认知DevSecOps九大实践要素与文化融合七个阶段从DevSecOps视角看腾讯云过去安全工作腾讯云DevSecOps的落地基于CI/CD的安全嵌入在CI/CD流程中嵌入自动化的安全检查动作工具链建设构建DevSecOps所需要的安全工具链自动化测试SAST、DAST、IAST等安全自动化测试关键点容器安全、API安全、第三方组件安全DevSecOps工具链建设CodeQL腾讯自研(开源协同)工具链的建设工具链的建设工具链的建设工具链的建设基于CI/CD流程的安全嵌入静态代码扫描敏感信息检查开源组件检查APP/