服务器外网IP安全审批
管控内网机器及服务的非必要/非安 全开放，减少黑客入侵入口
新产品上线安全检查与审批
在产品上线流程嵌入安全检查流程，保障产品在 上线前已收敛大部分安全问题并做相关安全加固
ToB场景需求的安全检查与审批
针对ToB的一些如合作开发等特殊场景做安全评估、 检查与审批，避免非安全操作带来的数据泄露等损失
上线前自动化扫描
基于测试环境测试流量的被动式Web漏洞 扫描，实现对上线前基础漏洞的发现收敛
周期自动化巡检
安全规范检查、Web漏扫基于线 上流量及域名的周期安全扫描
人工黑盒测试
人工不定期模拟黑客攻击对 线上产品安全进行渗透测试
人工代码审计
基于业务版本的 关键功能、API， 从代码层面审计 发现安全问题
DevSecOps三个关键点 人和文化
持续进行安全意识培训，鼓励团队自治，每个人为参与到安全，为安全负责，达成共识和认知
流程
整合流程，定期做代码检查、红蓝对抗， 建立安全情报机制，有可度量衡的安全 指标，加强与业务部门的协作等
2. 复杂的产品形态与研发场景 • 自研、合作研发、OEM等 • SaaS、PaaS、IaaS • 专有云、私有云、公有云、混合云
复杂的产品体系及人员组织
3. 多样化的技术栈与架构 • C、JAVA、GO、PHP、Python、NodeJS… • Web应用、APP、客户端、小程序… • 各种中间件、一些新型架构等
为什么要实践DevSecOps
DevOps已经是在逐步落地实践 而安全的滞后性会成为 DevOps的掣肘，DevSecOps 势在必行！
为什么要前置？
应用生命周期各阶段中，修复漏洞的成本随着开发生命周期推移而逐步上升
X100 X10 X2
研发
测试
发布
运营
从SDL到DevSecOps
从SDL到DevSecOps
Hale Waihona Puke 工具与新架构的不匹配…
02 从边界建立起的安全防线
当前核心关注点
1. 产品不出安全问题 • 产品不出严重危害的安全问题 • 产品不出简单易发现安全问题
2. 保障核心数据安全 • 有效发现入侵事件，保障内网安全 • 减少入侵入口
安全管控
域名申请安全审批
管控腾讯云等域名的使用，减少域名滥用情况，降 低对腾讯云官网等的安全风险
高危端口开放监测
5分钟常见高危端口快速扫描，1小时全端口扫描 全闭环运营流程，全自动化监控、告警、修复、验 证，高效收敛高危端口开放问题。
漏洞情报+资产测绘
漏洞情报 ->资产测绘 ->推进修复
信息泄露监测
自动监测
自研信息泄露监控系统， 进行自动化监测
事件确认
发现泄露信息进行人工运营 确认，推动敏感信息删除
4. 多重组织与人员结构 • 总部、子公司、投资全资子公司、外部企业 • 正式员工、驻场外包、子公司员工、研发外包 • 跨公司、跨BG、跨部门、跨业务线、跨中心
多维度的安全挑战
不同的研发与发布流程
员工安全意识各不相同
产品安全质量参差不齐
无法约束外部引入风险
跨团队的安全落地挑战
安全跟不上产品发布
产品需求发布大于安全
在外，管控域名、外网IP的使用，减少非必要风险暴露面及攻击入口 在内，嵌入产品发布及项目流程，通过安全检查与评估收敛安全问题
有限人力关注重点项目，黑盒测试基于流程进行自动化检查
100
50 1216 6123 2118 3316 3613
0
7月 8月 9月 10月 11月
测评版本数 发现漏洞数
03 基于风险控制的安全体系
产品环境接 入云器
测试测 试功能
云器采 集请求
安全扫 描请求
发现产 品漏洞
基于测试环境流量的上线前扫描
赏金计划
主机安全风险收敛
01 高危端口监控 未知/不可控端口对外开放撕开了 企业安全防御体系的缺口
02 系统漏洞及风险服务巡检 基于系统漏扫进行内网服务器的周 期巡检，发现系统及风险服务
03 风险服务运营收敛 运营推动风险服务的修复与整改， 进而降低内网风险
DevSecOps在腾讯云的落地实践
从混沌到体系化
目录
CONTENTS
1、腾讯云产品体系与安全挑战 2、从边界建立起的安全防线 3、基于风险控制的安全体系 4、DevSecOps的尝试落地
01 腾讯云产品体系与安全挑战
复杂的产品体系及人员组织
1. 庞大的体系与快速迭代 • 50+产品分类，200+一级产品，2、3000二级产品 • 最多日均近10个新产品上线，日常N个版本发布
SDL/传统安全
• 责任：安全团队 • 安全较缓慢，也常置于流程之外 • 大量的人工参与 • 适用大部分业务
DevSecOps
• 责任：安全是每个人的责任 • 柔性嵌入研发运维流程，自动化 • 自动化流程，人更趋向于运营反馈
处理 • 适用于周期较短，迭代较快的业务
并不存在明显的冲突，只是进一步：流程融入、自动化、更多前置，安全文化
复盘 意识提升：总结问题、经典案例、安全培训 整改 整改措施：统计成因、统一措施整改
运营统计
安全演习
• 发现安全风险 • 提升安全意识
• 检验防护能力 • 强化安全体系
04 DevSecOps的尝试落地
三个问题
为什么要做？
怎么做？
先做什么？
什么是DevSecOps
Gartner 在2012年创建了“DevSecOps”的概念 核心理念：安全是整个IT团队（包括开发、测试、运维及安全团队）所有成员的 责任，需要贯穿整个业务生命周期的每一个环节。 “每个人都对安全负责” 安全工作前置，柔和嵌入现有开发流程体系。
很多团队和业务同学有 足够的安全意识，但不 知道该做哪些事，怎么 做是正确的
6篇发文规范，近30篇安全指引
安全检查
安全合规审计
从等保等合规角度要求对指 定产品进行审查和推动整改
安全众测
通过邀请外部安全公司专业人员及外部白 帽子对线上产品进行安全测试和漏洞挖掘
自动化代码审计
对代码的自动化安全漏洞发 现
通报及定级
根据泄露信息严重程度 进行通报和定级处理
安全宣导
对事件责任人及团队进 行安全宣导和再培训
应急响应
漏洞响应流程
漏洞 内部发现：自动化扫描、人工测试 发现 外部报告：TSRC、腾讯云官网安全中心
漏洞 代码修复：协助修复、修复验证、同问题排查 修复 安全防护：WAF防护、安全管控、数保项目
漏洞 漏洞跟踪：工单跟进、分类定级、通知、拉群处置 响应 止损、分析：及时止损、分析成因