2023國家網絡安全宣傳周丨長亭科技:某企業安全開發生命周期(SDL)建設中“安全左移”方案實踐
2023年09月14日 18:35
9月11日-17日是“2023國家網絡安全宣傳周”。中國互聯網協會圍繞“網絡安全為人民,網絡安全靠人民”的主題,開展網絡安全成果案例征集活動。互聯網企業積極參與,從“反詐”“個人隱私保護”“數據安全”“風險評估”“關鍵信息基礎設施安全保護”“新技術 新應用的網絡安全”等方面,多角度、多層面、多形式地分享了網絡安全成果與良好經驗,共同探索網絡安全問題的解決途徑,為我國網絡安全領域建設提供新思路、新方法,形成多方協作共同維護網絡安全的強大合力。
長亭科技
某企業安全開發生命周期(SDL)建設中“安全左移”方案實踐
長亭安全開發生命周期(SDL)建設中“安全左移”方案結合了客戶SDL流程優化的需求,通過被動代理模式將洞鑒(X-Ray)嵌入SDL功能測試階段。洞鑒(X-Ray)作為“中間人”,在功能測試的同時原樣轉發流量進行漏洞風險檢測,實現功能測試和安全測試并行,采用分布式部署方式打破網絡隔離限制,提供漏洞風險實時檢測和延時檢測兩種方式對系統上線前安全進行驗證。
此外,可通過配置被動代理地址和端口,獲取測試過程中的請求流量,將其傳入洞鑒(X-Ray)中進行主動實時漏洞檢測;將請求流量鏡像存儲到Jenkins平臺,功能測試結束后通過Jenkins平臺請求日志將其發送到洞鑒(X-Ray)進行檢測;可完善客戶業務上線流程,在功能測試階段的同時接入漏洞檢查,推進漏洞修復以及復測,及時發現多個隱藏的高危漏洞,解決了業務運行風險,降低漏洞修復成本的同時極大提升系統上線前安全檢測效率。
分布式的部署模式,打破了網絡區域的隔離限制,并將安全檢測能力前置,可更早精準收斂風險漏洞,達到資產自動發現,全生命周期閉環管理的目的。
