安全设计基线自动化原理与实践 秦波01. 基线自动化项目背景. 02. 基线自动化流程. 03. 基线自动化收益. ✱SDL安全开发流程 ✱ ✱基线自动化建设背景 基线自动化的转变 STEP 01 STEP 03 STEP 05STEP 02 STEP 04 STEP 06需求 开发 上线 设计 测试 运营 SDL安全开发流程全景SDL安全开发流程全景 需求 设计 开发 测试 上线 运营 开发过程 功能测试完成后域名申请 Odin上线流程提交线上安全漏洞 日常运营提供安全SDK 白盒代码安全检测黑盒测试安全基线检测 高危三方组件检测安全培训课程 线上漏洞应急响应 优化漏洞检测逻辑 需求评审需求安全评估 软件外采需求安全评估 数据对外需求安全评估开发过程使用安全SDK 代码安全性检测无需人工触发，自动后 台运行集成在odin上线流程中， 在上线前检测应用的安 全性-方案评审方案设计安全评估 提供安全开发规范 方案设计安全评估 安全能力 SDL安全评估是通过对软件设计方案、代码实现进行评估发现其中的安全问题并提供相应的解决方案， 目标是减缓上线后的安全风险，滴滴的业务或系统第一次上线或迭代上线都会经过SDL组的安全评估。 基线自动化建设背景 SDL安全评估重点 1.根据项目场景威胁建模，识别出可能的风险。 2.根据可能的风险，提出对应的安全需求和解决方案 3.根据安全解决方案，进行代码审计 1、创建项目 线下提交材料 4、按要求 设计、实现 5、提交代码及测试 环境 研发人员 SDL工程师 3、根据checklist提 安全需求和解决方案 评估流程 手工代码审计 7、根据发现的问题 进行整改 2、威胁建模 8、验证并同意上线 通过？ 基线手工化痛点 人工评估流程长 经验无法沉淀 审计材料线下保存无法及时跟踪 项目量大，不准确性高 基线自动化的转变 1、创建项目 （线上提交材料） 4、按要求 设计、实现 5、提交代码 研发人员 SDL平台 3、输出基线要求、 加固方案 自动化安全评估流程 2、基线规则引 擎：匹配基线 规则 6、代码 检测引擎自动 检测 1、创建项目 （线下提交材料） 4、按要求 设计、实现 5、提交代码 研发人员 SDL工程师 3、根据checklist提 安全需求和解决方案 人工评估流程 6、手工代码审计验 证并测试 7、根据发现的问题 进行整改 2、威胁建模 8、验证并同意上线 通过？ 7、根据发现的问题 进行整改 8、验证并同意上线 通过？ SDL工程师 检查基线是否合适 根据特定业务场景研 究并输出方案 根据检测结果分析可 能的误报情况 人工威胁建模 根据checklist提出安全需求 手工代码审计 线下存储 引擎自动匹配基线要求 基线引擎自动输出基线要求 代码检测引擎自动化 线上存储