sponsored links

OPPO網際網路DevSecOps實踐

內容來源:OPPO安全應急響應中心 子午安全實驗室

作者:瀋海濤

前言

OPPO網際網路DevSecOps實踐

伴隨著移動網際網路技術的高速發展,如何保障產品的安全與隱私合規成為了一個嚴峻的挑戰。尤其是在產品複雜度高、更新迭代快的現狀下,如何應對挑戰,已經成為了企業發展必須要慎重考慮的問題。以OPPO為例,OPPO僅ColorOS全球月活使用者數就達到了3.7億+。產品形態覆蓋 Web APP、Android APP、 iOS APP、快應用、SDK、IoT等,日變更1000+次。本文將以OPPO安全應對行業挑戰所作出的實踐為例,重點介紹OPPO網際網路DevSecOps實踐,更準確的說是從傳統SDL到DevSecOps轉型的實踐。

不能免俗,先放概覽

OPPO網際網路DevSecOps實踐

本文將從以下幾個方面展開:安全活動融入研發流程、安全防護平臺建設、安全文化建設、外部合作以及持續精進。

一、安全活動融入研發流程

OPPO網際網路DevSecOps實踐

安全與隱私合規是企業存續發展的基石之一。基於DevSecOps的原則,安全活動需要貫穿研發流程的每一個環節,使安全與隱私合規成為各團隊的共同責任。在現有的研發流程中,子午實驗室開發了安全與隱私評測系統,並將安全活動融入到研發流程的不同階段中,覆蓋業務的大版本及涉及到安全與隱私重大變更的小版本。

1.1 制定流程規則

首先要解決的是融入研發流程的規則問題,以及如何進行卡點管控。我們一般會將產品的生命週期分為產品需求、架構設計、編碼實現、測試、釋出、運營等幾個階段。

在DevSecOps實施初期或者安全團隊組建的初期,想要覆蓋產品的全部生命週期是很困難的,這個階段需要解決面的問題,抓大放小,因此會選取一些關鍵的節點進行管控。

我們選取了三個強流程進行卡點:產品需求階段進行隱私合規評審,產品釋出前進行安全測試&隱私合規測試,這樣基本上保障了產品的安全與隱私的基線要求。如下圖所示:

OPPO網際網路DevSecOps實踐

之所以選取隱私合規評審作為強流程卡點是由於業務形態所致,OPPO是一家全球化的公司,產品和服務覆蓋全球幾十個國家和地區,面臨巨大的隱私合規挑戰,比如歐盟區域的 GDPR等。

隱私合規評審可以在產品設計需求階段就滿足合規要求,避免上線前檢測不合規造成的業務返工及大量的改造成本。同時我們還在上線前進行了安全測試和隱私合規測試來強卡點,業務必須滿足安全與隱私質量標準才能夠上線。

另外在流程規則中要考慮介入的深度和範圍。深度越深,範圍越大意味著安全的工作量越大,業務的感知越強烈,對業務效率的影響也會越大。目前我們的策略是,安全流程強制覆蓋新業務或者老業務的大版本,其他的版本由業務架構師根據我們的指引(checklist)進行自評,由業務自行判定是否走安全流程,這樣既保證了能夠消除大部分風險,又兼顧了業務效率。

1.2 IT系統支撐

流程有了,接下來就是要保障流程能夠順利落地執行,靠人來跟進無論是在覆蓋度上,還是效率上都是不靠譜的,於是我們構建了DevSecOps的IT支撐系統,即將安全流程融入到 CI/CD 系統中。

OPPO網際網路DevSecOps實踐

如下圖所示,我們將安全活動融入到CI/CD流水線中,以後端流水線為例,在構建階段會進行原始碼安全掃描,在部署測試整合階段會進行後端動態安全掃描(IAST),上線之前會進行安全評測,包括安全測試和隱私合規測試。而且這個流水線是可編輯和配置的,後續可以按需加入更多的自動化掃描或者其他安全活動。

OPPO網際網路DevSecOps實踐

同時,開發進入CI系統時候,會自動檢測當前的開發是否進行過需求評審,如果沒有的話會進行提示。在安全測試和隱私合規測試階段會檢測是否進行過需求評審,如果沒有的話則無法提測。

OPPO網際網路DevSecOps實踐

我們開展的需求評審可以認為是輕量級的威脅建模,透過詳盡的引導式提示做到業務自助式操作,極大減輕了安全的溝通工作量。

OPPO網際網路DevSecOps實踐

而評審系統裡面的檢查項是抽取了《安全&隱私標準規範》中的部分重點內容,主要的標準規範如下:

OPPO網際網路DevSecOps實踐

1.3 自動化能力構建

在DevSecOps 中純粹靠堆人力是很難適應DevOps的快節奏的,自動化能力構建是必經之路。子午實驗室在以下幾方面構建了自動化能力,大部分自動化能力已經融入到了CI/CD流程中:

  • 靜態原始碼掃描(SAST)
  • 後端動態自動安全測試(IAST)
  • 開源元件黑名單檢測(SCA)
  • 安卓APP靜態安全與隱私合規掃描
  • 安卓APP動態安全與隱私掃描
  • 安卓SDK特徵掃描

… …

靜態原始碼掃描(SAST):檢測能力覆蓋主流的開發語言,目前支援商業與自研的多個掃描引擎,並支援增量掃描,後續會支援IDE外掛形式掃描。

OPPO網際網路DevSecOps實踐

後端動態自動安全測試(IAST):覆蓋OPPO主流的後端開發語言,融入測試階段,在做功能測試的同時完成安全掃描,極大提升了效率。

OPPO網際網路DevSecOps實踐

開源元件黑名單檢測(SCA):融入到CI系統的構建流程,黑名單由子午的安全攻防人員維護,業務程式碼構建階段如果命中規則需要修復之後才能夠成功構建。

OPPO網際網路DevSecOps實踐

安卓APP靜態安全與隱私合規掃描系統:能夠同時進行安全漏洞掃描、安全編碼規範及隱私合規檢測的掃描。目前主要提供給安全及隱私測試人員使用,後續會考慮推廣給研發及測試人員使用或者融入到CI/CD中。

OPPO網際網路DevSecOps實踐

安卓APP動態安全與隱私掃描:主要覆蓋靜態檢測無法無蓋的場景,比如提前聯網、檢測加固應用的行為等,目前處於內測階段。

安卓SDK特徵掃描:會掃描APP中使用到的SDK名稱、版本、允許上線區域、歷史漏洞等資訊,目前處於內測階段,後續會融入到研發流程中。

二、基礎安全防護產品及服務

OPPO網際網路DevSecOps實踐

在業務的生命週期中,是離不開基礎安全防護的,我們在主機層、網路層、應用層等提供了多維度的安全檢測、防護產品和服務,保障OPPO的基礎安全。

  • 主機層:主機入侵檢測(哨兵)、態勢感知(諦聽);
  • 網路層:安全閘道器(雲盾)、流量檢測系統(鷹眼)、動態防火牆、DDoS防護系統(金堤);
  • 應用層:秘鑰管理服務、業務風控(天御)、驗證碼服務、安全元件(OSK)。

OPPO網際網路DevSecOps實踐

三、安全文化建設

OPPO網際網路DevSecOps實踐

DevSecOps 中需要明確,安全與隱私不再單獨是安全團隊的責任,而應該是產品、開發、安全、運維等協同合作共同負責,以期達到“上線前安全賦能業務,上線後業務支援安全”的局面,為此我們做了以下的工作:

  • 成立了公司級的安全與隱私委員會,將業務部門的負責人納入其中,在組織制度上保障安全與隱私策略的推動實施。
  • 建立了安全與隱私合規代表制度,安全與隱私合規代表由業務部門專人擔任,確保安全與隱私要求在部門落地。
  • 將安全與隱私寫入網際網路產品觀:“發自內心的尊重使用者的隱私與安全,而不僅僅是因為法律的約束”。
  • 常態化的培訓賦能。一方面,對主管層開展“安全與隱私合規應知應會”培訓。另一方面,定期開展安全與隱私知識宣導。透過培訓、內部發文等形式開展安全與隱私知識培訓。

四、外部合作

OPPO網際網路DevSecOps實踐

安全是一項體系化工作,我們積極保持與業界的聯絡,引入業界先進安全能力,同時也希望能夠為安全界做一些貢獻:

  • 成立了 OPPO安全應急響應中心(OSRC) ,並與多個漏洞提交平臺合作,與全球安全研究者一起守護OPPO使用者的安全。
  • 積極與高校和業界安全廠商合作,透過聯合實驗室、專案合作、產學研等方式在部分重點技術領域上進行攻關與合作。
  • 積極參與安全與隱私領域權威認證,檢驗成果。目前已經透過TrustArc、eprivacy、ISO/IEC 27018:2014、ISO/IEC 29151:2017、ISO/IEC 27001:2013、CSA Star、泰爾資訊保安五級認證、等保三級、ISO/IEC 27701:2019等認證。同時我們還透過其他測評機構來評估DevSecOps的成熟度,以便改進。
  • 在安全研究過程中,提報安卓系統、Netty、RocketMQ、Chrome、Safari、等多個安全問題,並獲得廠商公開致謝及CVE。
  • 參與 DIMVA 、ISC 等多個安全會議並做分享,開展多次校園行安全分享交流活動。

五、持續精進

OPPO網際網路DevSecOps實踐

目前,OPPO網際網路已經初步建立起了 DevSecOps 體系,但還處於起步階段,還有很多工作需要做。

5.1 自動化能力更加完善

自動化能力主要體現在安全與隱私問題消除率和業務效率影響兩個方面。問題消除率越高,業務效率影響越小我們認為自動化的能力越強。

可以從以下幾個方面入手:

  • 持續最佳化檢測方法和規則,降低誤報率和漏報率;自動化能力要覆蓋關鍵的流程;持續最佳化自動化的使用者體驗。
  • 持續關注業界技術動態,及時覆蓋新的漏洞模型,引入新的檢測技術或方法,覆蓋更多的產品形態;
  • 持續運營自動化工具,在業務使用過程中最佳化檢測規則;
  • 逐步將 Docker 安全掃描作為強流程管控,覆蓋安全基線掃描;
  • 提早暴露安全風險,將安全掃描整合到IDE開發環境中,將安全掃描工具使用賦能給開發及測試,甚至將安全與隱私測試融入到功能測試中。

5.2 基礎設施即安全,預設安全原則

打造安全的基礎設施,並採取預設安全配置的原則,讓業務只關心業務層面的安全與隱私。

  • 保障基礎開發框架的安全;
  • 將安全庫整合到開發框架中,並預設配置;
  • 提供預設安全的映象、作業系統、中介軟體;
  • 提供預設安全的通用元件,比如封裝WebView安全元件;
  • 將安全檢測及監控能力融入到基礎設施中。

5.3 持續開展安全文化建設

持續打造業務、安全、運維協同開展安全與隱私合規工作的文化氛圍:

  • 安全團隊持續關注業界安全與隱私技術及趨勢,消化吸收,轉化為內部能力;
  • 持續將安全與隱私合規能力賦能給產品、開發、測試及運維人員;
  • 逐步將安全與隱私合規測試人工流程轉化為自動化流程;
  • 將大部分的安全與隱私檢測項工具化,並推廣給開發和測試人員使用;
  • 透過“安全藍軍”來覆蓋自動化工具無法覆蓋的部分。

最終形成安全團隊承擔諮詢、洞察、藍軍、能力輸出等角色,業務、測試及運維等透過安全的持續賦能,達到主動保障業務安全與隱私,形成“上線前安全賦能業務,上線後業務支援安全”的局面,建立一個良性迴圈。

回顧OPPO安全在DevSecOps 實踐過程中所遇到的挑戰,可以再次肯定,安全不是某一部門的責任,更不是在開發後期引入就可以解決問題的。在DevSecOps 體系框架下,安全防護需要貫穿業務整個生命週期的每一個環節。

面對萬物互融的浪潮,雲計算、大資料及人工智慧等核心技術的發展,在帶動科技發展的同時,必將給安全帶來極大的挑戰,如何保證業務高效、穩定、安全的發展,將是我們需要共同思考及長期實踐的問題。OPPO安全將秉持對使用者高度負責的態度,在安全與隱私的道路上持續耕耘,成為有擔當的安全團隊。

分類: 遊戲
時間: 2021-12-15

相關文章

「福利」澤西島近期新郵

「福利」澤西島近期新郵
英屬澤西島郵政8月和9月發行的兩套新郵值得欣賞和收藏.下面,小編就為您分享: 8月17日,發行<澤西島教區>郵票,全套12枚,郵票用美麗多彩的郵票畫面展示了澤西島各個教區的不同特點.該套郵 ...

「福利」新賽季球隊口號徵集 快船專場

「福利」新賽季球隊口號徵集 快船專場
新賽季的泡椒要單獨扛起球隊一陣子了,快船會打出什麼樣的戰績? 船蜜們快來為快船起個口號吧!  上一期獨行俠口號誕生:俠者獨行,以"7"制勝 來自[@陪你青聽] 新賽季球隊口號徵集 ...

堅持「早起」有多了不起?身體5個變化贏在起跑線

堅持「早起」有多了不起?身體5個變化贏在起跑線
有人說,那些真正厲害的人,從不熬夜通宵拼命,而是習慣用「早起」的方式開啟新的一天. 中國晚清時期政治家.戰略家曾國藩 一輩子堅持早起的習慣 並告誡子孫後代一定要早起 ▼ 中國現當代著名文學家梁實秋 黎 ...

數字時代的「 局外人 」

數字時代的「 局外人 」
圖源:抖音公益微電影<局外人> " 隨著<中國網際網路絡發展狀況統計報告>顯示:60歲及以上的非網民約1.91億,約佔73.4%.父母輩成為了數字生活的局外人. 不會 ...

「查德」走進“查德湖”上的島嶼村莊

「查德」走進“查德湖”上的島嶼村莊
我們一行四人乘著吉普車,用了兩天半時間穿越喀麥隆北部,於2014年1月6日下午,到達了查德的首都恩賈梅納. 喀麥隆和查德的陸路海關就在恩賈梅納近郊,幸好我們司機的弟弟是這個關口的工作人員,我們沒有下車 ...

36氪獨家丨戶外家居品牌「Outer」完成5000萬美元B輪融資,估值較上一輪漲近10倍

36氪獨家丨戶外家居品牌「Outer」完成5000萬美元B輪融資,估值較上一輪漲近10倍
36氪獲悉,戶外家居品牌「Outer」近期已完成5000萬美元B輪融資,本輪融資由今日資本領投,Tribe Capital.C資本.Upfront Ventures以及老股東紅杉資本中國基金.Muck ...

便秘,到底是身體哪裡出了問題?搞清楚才能「暢通無阻」

便秘,到底是身體哪裡出了問題?搞清楚才能「暢通無阻」
便秘有多痛苦,大概只有經歷過的人能懂,有人形容是:3 天拉不出來,小肚子彷彿懷胎 3 月 便秘的人也會嘗試各種各樣的方法: 瘋狂吃香蕉 喝酸奶.蜂蜜水 喝腸清茶.吃瀉藥 甚至灌腸.用開塞露 但有時根本 ...

「生氣」如何一步步誘發心梗?《歐洲心臟雜誌》找到了真兇

「生氣」如何一步步誘發心梗?《歐洲心臟雜誌》找到了真兇
影視劇中常出現這樣的鏡頭:人在盛怒之時,突然捂緊胸口,倒地不起-- 這並沒有誇大「生氣」的可怕,現代醫學已經證實,生氣的確是心梗.冠心病的重要誘因. 近日,<歐洲心臟雜誌>發表的一項研究解 ...

回頭率 90% 以上的球鞋,全靠這些「細節」|《每週冷門球鞋大賞》

回頭率 90% 以上的球鞋,全靠這些「細節」|《每週冷門球鞋大賞》
和大家聊了這麼多期球鞋,從皮質聊到產地,從配色聊到科技,那都給阿正說完了可咋整?哈哈,放心~主題我來想,大家等著"上菜"就行!那今天的重點呢,我們就放在「回頭率」上,不知道對於大家 ...

奶爸如何「迎戰」家庭負面情緒?”——禾一母嬰

奶爸如何「迎戰」家庭負面情緒?”——禾一母嬰
☊ 每晚22:35分,我在酒館和你說晚安 不知新手爸爸們是否有這樣的經歷,辛辛苦苦在外工作了一天回到家,開啟家門面對的卻是哭鬧不停的寶寶和不斷埋怨的妻子,本以為家是休憩的港灣,卻難以得到期望的平和與寧 ...

讓蘋果看起來像蘋果的他,自創公司上線官網也很「蘋果」

讓蘋果看起來像蘋果的他,自創公司上線官網也很「蘋果」
2021 年 10 月 11 日,在喬布斯逝世 10 週年的一週後,喬布斯生前好友,前蘋果設計總監 Jony Ive 新創公司 LoveFrom 的官網上線,以此向喬布斯致敬. 2019 年 11 月 ...

為什麼我們不喜歡「周冬雨」排列?

為什麼我們不喜歡「周冬雨」排列?
當然,我們說的並不是周冬雨本人,而是被稱為「周冬雨」排列的螢幕. 這個問題不止數碼愛好者感興趣,就連女演員周冬雨本人,也在知乎問出了這樣的問題:周冬雨排列是什麼? 隨著 OPPO 釋出屏下攝像頭的解決 ...

二手值得買 | 小米 10 Pro:官網下架後反而更火的「真」旗艦

二手值得買 | 小米 10 Pro:官網下架後反而更火的「真」旗艦
或許這是小米數字系列歷史上最短命的旗艦了. 2020 年恰好是小米公司的 10 週年,年中推出了紀念版的小米 10 Ultra 不久後,小米官方就悄悄地讓它提前退市,讓位給小米 10 Ultra,作小 ...

首席評測官·我樂家居「之間」系列 尋找這個世界從未有過的美學

首席評測官·我樂家居「之間」系列 尋找這個世界從未有過的美學
首席測評官:Allen Chou 設計師Allen Chou,畢業自英國皇家美術學院,從事室內設計工作十五年,專注於高階家居設計,別墅.大平層等豪宅優秀設計案例100+,服務金領菁英使用者200+. ...

「翡翠」創匯期飄陽綠“連年有餘”翡翠圓佩

「翡翠」創匯期飄陽綠“連年有餘”翡翠圓佩
我是@田地裡的甲殼蟲!超級喜歡翡翠,深深陷入其中 ,不能自拔!藉助"今日頭條"這個平臺,和同好們學習,分享翡翠的知識和美圖! 讀書筆記 連年有餘是由蓮花和鯉魚組成的中國傳統的吉祥圖 ...

糟滷拼盤 | 糟了!整個冰箱都不夠我拿來「滷」

糟滷拼盤 | 糟了!整個冰箱都不夠我拿來「滷」
夏將盡,秋已至.一晃神,今日就已經立秋了. 聽起來雖說是秋季的頭一個節氣,但暑氣還是不講道理賴著不散.何以解暑熱?唯有下酒菜! 對北方人民來說,「糟貨」可能有些陌生.不過對於包郵區來說,糟貨可是夏季必 ...

大容量、更安全,能刷公交!「超級」功能的 SIM 卡,我並不推薦

大容量、更安全,能刷公交!「超級」功能的 SIM 卡,我並不推薦
近期,紫光國微在深交所「互動易」平臺上回答投資者的提問,表示公司的創新產品超級 SIM 卡已經實現了小批量出貨.而看到這個訊息的我,思緒在不經意間就飄到了 2019 年.那年 5G 超級 SIM 卡剛 ...

11款LV吉祥物「Vivienne」限量登場

11款LV吉祥物「Vivienne」限量登場
「Vivienne」絕對是LV 旗下眾多元素中最討喜的經典Icon之一.2018年「Vivienne」誕生後,於LV 所推出的各個產品系列中都常見其蹤影!範圍包含包包吊飾.包款皮夾.鑰匙圈.馬克杯及抱 ...

今年爆火「棋盤格」誰能不愛?洋氣百搭閉眼入

今年爆火「棋盤格」誰能不愛?洋氣百搭閉眼入
Hi,小姐妹們好呀! 這裡是你們的小萌主~ 姐妹們有沒有發現 今年的很多時尚元素裡 都有「棋盤格」的存在 不管是衣服.包包.鞋子 甚至耳飾髮飾也有棋盤格的影子 連地板.床品也有它的一席之地! 完全可以 ...

「原創」海豐阿東:靈光一閃,一代神醫滅霍亂

「原創」海豐阿東:靈光一閃,一代神醫滅霍亂
「原創」海豐阿東:靈光一閃,一代神醫滅霍亂 醫術高明的中醫.往往是能夠根據當時的情況,因地制宜地解決問題.在乾隆16年.江陰,宜興等地發生了霍亂的疫情,因為人們對它不瞭解.一時也沒辦法加以治療,所以這 ...