研发安全挑战与对策
背景介绍
腾讯PCG技术安全团队负责为PCG事业群下的社交、视频、信息流服务等重点业务提供应用及数据安全保障。团队面临的主要挑战包括:
- 存量业务复杂,现网域名和运营服务模块众多。
- 新业务形态的快速纳管,现有安全水位难以适应。
救火阶段
- 已知风险:存量业务合并带来的安全水位高低不齐,技术栈与基础设施繁多。
- 未知风险:缺乏有效的解决手段和风险类型。
- 解决方案:
- 资产梳理与防护:通过扫描和防护措施减少告警数量。
- 工具链建设:使用Web应用扫描、系统扫描、APP安全扫描等工具。
- 保障覆盖:GR评审、WAF防护和例行扫描。
治理阶段
- 已知风险:常见Web应用安全漏洞。
- 措施:
- 构建SAST工具链,增强漏洞发现能力。
- 安全函数库建设,提高代码安全覆盖比。
- 编码阶段的安全策略适配,确保安全开发套件的标准化。
- 案例:通过自动化测试和架构安全设计,有效收敛越权类逻辑漏洞。
探索深水区
- 未知风险:新渠道、第三方组件、云原生应用等带来的安全挑战。
- 案例:
- 越权漏洞案例:通过自动化测试和鉴权中心设计,减少风险。
- 应用密钥管理:引入AI和异常调用行为监测,提高敏感密钥识别率。
总结
- 框架:参考DevSecOps、安全内建等理念,建立数据驱动的风险评估体系。
- 效果:通过持续改进和验证,将未知风险转化为已知风险,推动研发安全的全面提升。
关注
腾讯PCG技术安全团队通过多种方式推动网络安全的发展,致力于创建亚太地区最佳的安全交流学习平台。
