联系我们
奇虎360集团高级测试总监,360技术委员会测试TC主席。 自1999年以来长期从事质量保证相关工作,先后就职于CA中国,绿盟科技,奇虎360,积累了丰富的安全产品质量保证、测试团队管理相关的工作经验。相信质量改进生活,思维完善人生,作为AI改善测试的践行者,积极推动360测试技术走上新台阶。
专场出品人:王冬
360 质量工程部 高级总监
专场:安全测试与安全工程
将安全测试升格为安全工程,可参考微软全生命周期开发(SDL)和DevSecOps等实践,侧重安全软件的需求分析、安全软件的架构和设计、威胁建模、减小攻击面、安全和隐私风险评估、代码静态分析、代码动态分析、模糊测试、渗透测试等方面的方法、工程实践和新工具的分享。
1. 360集团DevSecOps实践
2. 高效运营三要素
2.1 基础安全——人员、安全标准、基线,基础安全防护产品
2.2 IT系统支撑——安全运营平台、安全处置平台
2.3 自动化能力——代码自动审查、应用自动审计、风险自动告警
3. 安全提升新思路
3.1 全生命周期的安全审计——安全渗透会伴随产品的持续迭代(大小版本&人工、自动)
3.2 第三方安全——OEM产品、开源代码、供应链安全、安全SDK
3.3 适应新需求——隐私合规自动化检测、等保、DNV、TUV
3.4 多平台协同——代码编译、打包、管理、安审、发布关键流程卡点
3.5 持续的检测与响应——内外兼修,自主检测+外部漏洞及时响应,根据漏洞严重程度限时修复,严重漏洞未及时修复的强制下线
4. 总结
4.1 漏洞共识——一定有未发现的漏洞,建立历史漏洞机制,避免同类型漏洞重复出现
4.2 安全共建——放到更大的平台上接受挑战攻击、红蓝对抗、IOT安全守护计划、上下游安全生态
.....
王冬
360 质量工程部 高级总监
奇虎360集团高级测试总监,360技术委员会测试TC主席。 自1999年以来长期从事质量保证相关工作,先后就职于CA中国,绿盟科技,奇虎360,积累了丰富的安全产品质量保证、测试团队管理相关的工作经验。相信质量改进生活,思维完善人生,作为AI改善测试的践行者,积极推动360测试技术走上新台阶。
待定
待定
360集团DevSecOps实践与挑战
.......
内容大纲
听众收益
容器的背景和技术介绍
DevOps下的容器的开源安全合规的面临的挑战
DevOps下的容器的开源安全合规的企业级解决方案
DevOps下的容器的开源安全合规的面临的挑战
DevOps下的容器的开源安全合规的企业级解决方案
.....
王永雷
新思科技 资深软件安全架构师 开源治理专家
王永雷是开源治理专家,为新思科技(Synopsys)大中华区的客户提供企业级开源治理方案。
2016年,王永雷加入Black Duck软件公司;2018年,新思科技收购了Black Duck,他便加入了新思科技软件质量与安全部门(Software Integrity Group),为客户部署静态应用安全测试(SAST)、软件组成分析(SCA)、交互式应用安全测试等解决方案,帮助企业降低风险并提高应用安全性。
在软件领域已经有超过15年的经验,对DevOps、DevSecOps及Cloud Native颇有研究,曾参与中国信息通信研究院主持的《开源治理工具能力评估标准》以及《开源成熟度评估标准》的起草和定制。
待定
待定
DevOps下的容器的开源安全合规的企业级解决方案
随着云原生的解决方案被越来越多的企业所采纳,容器作为云原生解决方案的基础在企业的开发和运维流程中越来越普及,由于容器大部分都是由开源的组件组成的,企业在开发和部署运维容器的过程中面临哪些开源安全合规的挑战,以及如何在DevOps下应对容器的开源安全合规的挑战。
内容大纲
听众收益
kubernetes 上的有很多开源安全工具,它们具有不同的用途、范围。
There are many open source security tools on kubernetes that have different used and scopes.
基于以下方面选择的kube安全工具做简单介绍:
Based on following classification introduce kubernetes security tool :
软件更新安全
Software update security
TUF:
TUF was launched almost a decade ago as a way to build system resilience against key compromises and other attacks that can spread malware or compromise a repository
to provide a framework (a set of libraries, file formats, and utilities) that can be used to secure new and existing software update systems.
to provide the means to minimize the impact of key compromises.
to be flexible enough to meet the needs of a wide variety of software update systems.
to be easy to integrate with existing software update systems.
镜像扫描:
image scan
Anchore:
Anchore引擎可分析容器镜像并使用用户定义的策略来实现安全检查。
The Anchore engine can analyzes the container images and implement security checks using custom policies.
除了针对CVE数据库上已知漏洞的常规容器镜像扫描之外,还有许多附加条件可以配置为使用Anchore扫描策略的一部分:Dockerfile检查、凭证泄漏、特定于语言的包(npm、maven等)、软件许可证。
not only scan container images for known vulnerabilities on the CVE database, also can configure the following scanning policies:
Dockerfile check, credential leaks check, language packages (NPM, maven, etc.) check, software licenses check.
病毒查杀:
virus checking and killing
Dagda可对已知的漏洞、木马、病毒、恶意软件和容器镜像中的其他恶意威胁进行静态分析。
Dagda provides static analysis of known vulnerabilities, trojans, viruses, malware, and other malicious threats in container images
有两个显著的特性使得Dagda不同于类似的Kubernetes安全工具:
There are two significant features make Dagda different from other Kubernetes security tools:
它与ClamAV集成在一起,不仅可以作为一个容器镜像扫描器,还可以作为杀毒软件。
It is integrated with ClamAV as a container images scanner, also as antivirus software.
Dagda提供了运行时保护功能,从Docker守护进程收集实时事件,还可以和CNCF的Falco集成来收集运行时容器安全事件。
Dagda provides runtime protection ,it can collect real-time events from the Docker daemon ,also integrates with CNCF's Falco to collect runtime container security events.
网络安全:
network security
Nmap:Nmap uses raw IP packets in novel ways to determine what hosts are available on the network, what services (application name and version) those hosts are offering, what operating systems (and OS versions) they are running, what type of packet filters/firewalls are in use, and dozens of other characteristics.the Nmap suite includes an advanced GUI and results viewer (Zenmap), a flexible data transfer, redirection, and debugging tool (Ncat), a utility for comparing scan results (Ndiff), and a packet generation and response analysis tool (Nping).:
There are many open source security tools on kubernetes that have different used and scopes.
基于以下方面选择的kube安全工具做简单介绍:
Based on following classification introduce kubernetes security tool :
软件更新安全
Software update security
TUF:
TUF was launched almost a decade ago as a way to build system resilience against key compromises and other attacks that can spread malware or compromise a repository
to provide a framework (a set of libraries, file formats, and utilities) that can be used to secure new and existing software update systems.
to provide the means to minimize the impact of key compromises.
to be flexible enough to meet the needs of a wide variety of software update systems.
to be easy to integrate with existing software update systems.
镜像扫描:
image scan
Anchore:
Anchore引擎可分析容器镜像并使用用户定义的策略来实现安全检查。
The Anchore engine can analyzes the container images and implement security checks using custom policies.
除了针对CVE数据库上已知漏洞的常规容器镜像扫描之外,还有许多附加条件可以配置为使用Anchore扫描策略的一部分:Dockerfile检查、凭证泄漏、特定于语言的包(npm、maven等)、软件许可证。
not only scan container images for known vulnerabilities on the CVE database, also can configure the following scanning policies:
Dockerfile check, credential leaks check, language packages (NPM, maven, etc.) check, software licenses check.
病毒查杀:
virus checking and killing
Dagda可对已知的漏洞、木马、病毒、恶意软件和容器镜像中的其他恶意威胁进行静态分析。
Dagda provides static analysis of known vulnerabilities, trojans, viruses, malware, and other malicious threats in container images
有两个显著的特性使得Dagda不同于类似的Kubernetes安全工具:
There are two significant features make Dagda different from other Kubernetes security tools:
它与ClamAV集成在一起,不仅可以作为一个容器镜像扫描器,还可以作为杀毒软件。
It is integrated with ClamAV as a container images scanner, also as antivirus software.
Dagda提供了运行时保护功能,从Docker守护进程收集实时事件,还可以和CNCF的Falco集成来收集运行时容器安全事件。
Dagda provides runtime protection ,it can collect real-time events from the Docker daemon ,also integrates with CNCF's Falco to collect runtime container security events.
网络安全:
network security
Nmap:Nmap uses raw IP packets in novel ways to determine what hosts are available on the network, what services (application name and version) those hosts are offering, what operating systems (and OS versions) they are running, what type of packet filters/firewalls are in use, and dozens of other characteristics.the Nmap suite includes an advanced GUI and results viewer (Zenmap), a flexible data transfer, redirection, and debugging tool (Ncat), a utility for comparing scan results (Ndiff), and a packet generation and response analysis tool (Nping).:
对生态的好处
Cloud native security has become enterprise security focus point
云原生安全已经成为企业安全的焦点
Cloud native security assessment recommendations from Gartner
Gartner 云原生安全评估建议
“Add Layer 7 network segmentation for operational containers that require defense in depth.”
为需要深度保护的运行容器添加第 7 层网络保护。
“Secure containers holistically through integrating controls at key steps in the CI/CD pipeline. ”
需要通过在 CI/CD 持续集成/持续交付的整个关键环节中全面保护容器安全
Cloud native security has become enterprise security focus point
云原生安全已经成为企业安全的焦点
Cloud native security assessment recommendations from Gartner
Gartner 云原生安全评估建议
“Add Layer 7 network segmentation for operational containers that require defense in depth.”
为需要深度保护的运行容器添加第 7 层网络保护。
“Secure containers holistically through integrating controls at key steps in the CI/CD pipeline. ”
需要通过在 CI/CD 持续集成/持续交付的整个关键环节中全面保护容器安全
潘立峰
Thoughtworks 解决方案架构师
道客测试总监,曾工作于飞利浦,IBM,西门子多家公司。曾作为飞利浦产品质量经理参加2018年汽车产品功能安全大会并作为圆桌讨论人,在IBM,西门子,曾作为测试架构师和技术支持工程师参加软件全球化会议,通讯产品行业会议:
擅长领域:云原生产品测试,云原生安全测试,嵌入式产品测试,自动化测试和持续集成-DEVOPS等。
待定
待定
云原生安全测试探索
传统安全工具缺点:
无法检测容器漏洞
无法看到东西向容器流量
无法识别容器运行时攻击
安全边界模糊
无法检测容器漏洞
无法看到东西向容器流量
无法识别容器运行时攻击
安全边界模糊
内容大纲
听众收益
票务联系(可以开发票):媛媛:13520678913 (微信同号)
议题投稿: Email:Speaker@qecon.net
商务合作: 皮皮:13516196409
媒体合作: 小娟:15901265561
Tips:报名成功后,会收到电子二维码,大会当天凭此现场兑换参会证;
QECon公众号
扫码可查看往届盛况
