1、DevSecOps在騰訊云的落地實踐從混沌到體系化目錄CONTENTS1、騰訊云產品體系與安全挑戰2、從邊界建立起的安全防線3、基于風險控制的安全體系4、DevSecOps的嘗試落地01 騰訊云產品體系與安全挑戰龐大的體系與快速迭代50+產品分類，200+一級產品，2、3000二級產品最多日均近10個新產品上線，日常N個版本發布復雜的產品形態與研發場景自研、合作研發、OEM等SaaS、PaaS、IaaS專有云、私有云、公有云、混合云復雜的產品體系及人員組織多樣化的技術棧與架構C、JAVA、GO、PHP、Python、NodeJSWeb應用、APP、客戶端、小程序各種中間件、一些新型架構等多重組

2、織與人員結構總部、子公司、投資全資子公司、外部企業正式員工、駐場外包、子公司員工、研發外包跨公司、跨BG、跨部門、跨業務線、跨中心復雜的產品體系及人員組織多維度的安全挑戰不同的研發與發布流程員工安全意識各不相同產品安全質量參差不齊無法約束外部引入風險跨團隊的安全落地挑戰安全跟不上產品發布產品需求發布大于安全工具與新架構的不匹配02 從邊界建立起的安全防線當前核心關注點產品不出安全問題產品不出嚴重危害的安全問題產品不出簡單易發現安全問題保障核心數據安全有效發現入侵事件，保障內網安全減少入侵入口安全管控域名申請安全審批管控騰訊云等域名的使用，減少域名濫用情況，降 低對騰訊云官網等的安全風險服務器外

3、網IP安全審批管控內網機器及服務的非必要/非安 全開放，減少黑客入侵入口在外，管控域名、外網IP的使用，減少非必要風險暴露面及攻擊入口 在內，嵌入產品發布及項目流程，通過安全檢查與評估收斂安全問題新產品上線安全檢查與審批在產品上線流程嵌入安全檢查流程，保障產品在 上線前已收斂大部分安全問題并做相關安全加固ToB場景需求的安全檢查與審批針對ToB的一些如合作開發等特殊場景做安全評估、 檢查與審批，避免非安全操作帶來的數據泄露等損失121661232118331636131005007月8月9月10月11月測評版本數 發現漏洞數有限人力關注重點項目，黑盒測試基于流程進行自動化檢查03 基于風險控制

4、的安全體系很多團隊和業務同學有 足夠的安全意識，但不 知道該做哪些事，怎么 做是正確的6篇發文規范，近30篇安全指引人工黑盒測試人工不定期模擬黑客攻擊對 線上產品安全進行滲透測試人工代碼審計 基于業務版本的 關鍵功能、API， 從代碼層面審計 發現安全問題自動化代碼審計對代碼的自動化安全漏洞發現安全眾測 通過邀請外部安全公司專業人員及外部白 帽子對線上產品進行安全測試和漏洞挖掘上線前自動化掃描基于測試環境測試流量的被動式Web漏洞 掃描，實現對上線前基礎漏洞的發現收斂周期自動化巡檢安全規范檢查、Web漏掃基于線 上流量及域名的周期安全掃描安全合規審計 從等保等合規角度要求對指 定產品進行審查和

5、推動整改安全檢查產品環境接 入云器測試測 試功能云器采 集請求安全掃 描請求發現產 品漏洞基于測試環境流量的上線前掃描賞金計劃主機安全風險收斂01高危端口監控未知/不可控端口對外開放撕開了 企業安全防御體系的缺口02系統漏洞及風險服務巡檢基于系統漏掃進行內網服務器的周 期巡檢，發現系統及風險服務03風險服務運營收斂運營推動風險服務的修復與整改， 進而降低內網風險高危端口開放監測驗5分鐘常見高危端口快速掃描，1小時全端口掃描 全閉環運營流程，全自動化監控、告警、修復、 證，高效收斂高危端口開放問題。漏洞情報+資產測繪漏洞情報-資產測繪-推進修復信息泄露監測自動監測自研信息泄露監控系統， 進行自動

6、化監測事件確認通報及定級安全宣導發現泄露信息進行人工運營 確認，推動敏感信息刪除根據泄露信息嚴重程度 進行通報和定級處理對事件責任人及團隊進 行安全宣導和再培訓應急響應漏洞 發現內部發現：自動化掃描、人工測試外部報告：TSRC、騰訊云官網安全中心漏洞 響應漏洞代碼修復：協助修復、修復驗證、同問題排查復盤修復安全防護：WAF防護、安全管控、數保項目整改漏洞跟蹤：工單跟進、分類定級、通知、拉群處置 止損、分析：及時止損、分析成因意識提升：總結問題、經典案例、安全培訓 整改措施：統計成因、統一措施整改漏洞響應流程運營統計安全演習發現安全風險提升安全意識檢驗防護能力強化安全體系04 DevSecOps

7、的嘗試落地三個問題為什么要做？怎么做？先做什么？什么是DevSecOpsGartner 在2012年創建了“DevSecOps”的概念核心理念：安全是整個IT團隊（包括開發、測試、運維及安全團隊）所有成員的 責任，需要貫穿整個業務生命周期的每一個環節。 “每個人都對安全負責”安全工作前置，柔和嵌入現有開發流程體系。為什么要實踐DevSecOpsDevOps已經是在逐步落地實踐 而安全的滯后性會成為 DevOps的掣肘，DevSecOps 勢在必行！研發測試發布運營為什么要前置？應用生命周期各階段中，修復漏洞的成本隨著開發生命周期推移而逐步上升X100X10X2從SDL到DevSecOps從SD

8、L到DevSecOps責任：安全團隊安全較緩慢，也常置于流程之外大量的人工參與適用大部分業務SDL/傳統安全責任：安全是每個人的責任柔性嵌入研發運維流程，自動化自動化流程，人更趨向于運營反饋 處理適用于周期較短，迭代較快的業務DevSecOps并不存在明顯的沖突，只是進一步：流程融入、自動化、更多前置，安全文化DevSecOps三個關鍵點流程整合流程，定期做代碼檢查、紅藍對抗， 建立安全情報機制，有可度量衡的安全 指標，加強與業務部門的協作等技術構建對應的安全工具，實現更自動化的安全 檢測，相關工具可以嵌入到CI/CD流程人和文化持續進行安全意識培訓，鼓勵團隊自治，每個人為參與到安全，為安全負責，達成共識和認知DevSecOps九大實踐要素與文化融合七個階段從DevSecOps視角看騰訊云過去安全工作騰訊云DevSecOps的落地基于CI/CD的安全嵌入在CI/CD流程中嵌入自動化的安全檢查動作工具鏈建設構建DevSecOps所需要的安全工具鏈自動化測試SAST、DAST、IAST等安全自動化測試關鍵點容器安全、API安全、第三方組件安全DevSecOps工具鏈建設CodeQL騰訊自研(開源協同)工具鏈的建設工具鏈的建設工具鏈的建設工具鏈的建設基于CI/CD流程的安全嵌入靜態代碼掃描敏感信息檢查開源組件檢查APP/