研发安全及合规治理分享01：转型背景02：面临挑战03：整体思路04：制度建设05：流程建设06：工具建设 研发安全治理背景科技转型研发人员增加架构技术栈更新快应用系统增多业务复杂度提高敏感数据倍增研发安全转型研发安全团队扩充以应用纬度管理安全提升工具化能力细分领域要求增加安全管控能力要求增加转型过程面临的挑战各研发领域研发流程不统一线下安全评审、设计、审查效率低依靠研发主动提测会遗漏修复方案形态各异人力不足效率低质量压力存在的问题研发流程一体化，Starlink集中推广强制安全评审、设计、设计审查环节强制人工安全测试版本安全及合规质量管控质量保证覆盖全提高效率修复方案标准化优化举措 安全检测工具化转型过程面临的挑战人 工具研发安全及合规风险治理总体需求及目标操作风险管理制度研发安全管理制度数据安全管理制度开源软件管理制度安全漏洞管理指标合规事项整改指标安全漏洞处置流程开源软件事项处置流程合规事件处置流程安全事件处置流程操作行为监测规则开源软件风险规则研发安全风险规则新技术应用统一管控规则防护检测规则制度建设运行指标流程建设规则集合 基础设施流量分析平台漏洞扫描系统开源软件扫描检测IAST/RASP代码扫描SDLC研发运营分析风险评分卡点线上化漏洞监测运维流量入侵检测架构工具研发过程发布管理运行监测其他制度其他指标其他处置流程应用资产分类分级--不同风险不同管控思路CMSSLB流量APM工具CMDB…提炼数据进行打标 应用风险属性标识资产信息数据库l风险定级l是否合规属性lSDLC覆盖情况l面向互联网l应用组件依赖库 l…..l互联网资产暴露监测l自动化工具覆盖率探测l….依据不同风险等级实施不同的安全管控措施1、SDLC2、精简版SDLC3、周期性测试4、纯工具执行…..l涉敏应用制度建设 《各!"#$%&'(》)*+,-!"./012《34!"%&01》《数据56789%&01》…….!"#"$%&'()*+!,-./01234)*+《56789:;<=>)*》《日志数据平台安全管理细则》《9:?@AB'()*》CCC二阶制度三阶执行细则1!"#$%&'(2!)*+,-.3!)*/012344DEFGHIJK234AB5!567289基本框架•!"#$%&•'()*+,-SDLC.•/'()*+0-.•$%12345•6789:;<=:;$%>?@ABCDE•FGHI5•J2FG&KLM>?@NOPE•QRSL/TUVW5•XYVWTZFG•[\]^&_`a•bcXYGdKeQRFGY •XYfgKehijkKelmY运营指标研发安全类（漏洞事件型）研发合规治理类（方案/组件接入率等）部门团队小组研发负责人筛选纬度