蠻糟糕的然後我們要進入一個來到今天這個KCD活動網我先做一下做介紹首先是來自於中國運動新興建築中心的劉斌然後負責新興建築中心的PAS的運圍和安排程度包括今天的這個主題T8S相關的然後這個DAIBO相關的它的運圍和這個安排程度都是我來負責的然後個人呢還是這個永遠生產聯盟的新通院組織了他們一個聯盟相關的安區各種專家然後以及雲安全聯盟就是它是一個國際組織在大東方區的燈光園也負責了組織和編寫了能夠和永遠生安排相關的標準然後是有一些相關的特殊像大外發展像這個CISPCISP等等在這個安全的產品解放有十多年的很久的時間今天分享的主題呢是中國移動潘州FZ24平台永遠生產安全事件首先呢給大家介紹一下我們的這個潘州平台潘州平台呢是中國移動新技術基於永遠生技術打造的一個一暫時的FZ24平台致力於這個解決企業在速度化轉型的過程當中研發項目的重點它提供了從這個需求開發測試發布運位短短短的這個協同服務和研發工具之上潘州這個名字的來歷啊就是兩個字嘛潘其實是潘石它代表了這個穩定和安全潘州代表了這部是清廟和銘界從這個產品的名稱來看不能看出這個產品的定位潘州的核心功能包括了它的這個雙模的明太管理安全的代碼拖廣多運圖的智體庫永遠生技術把它進去全功能的銀安衣靈活的這個地帶碼還有這個水機上面和永遠生安全它還有一個在我們公司裡它還有一個毛兄弟叫做盤機盤機更側重在這個就是容器運管理它這個都進去管理盤台大家可以在這個你們一定要看到一個成州上域多運動盤機這個盤機就是指導方指導用的容器運管理盤台然後這兩個平台呢是可以做到部分的銜接和連動兩個產品都是中國移動數字化轉型的重要組成部分在中國移動集團的股得到這個大力的推寶我們可以看到這個數據實際上稍微有一點延遲它就是2082年的10月30號就下半年的時候我們入住的項目有三百多個然後其中很多的這個兩百多個還有一些更的三十中國移動有三十一個什麼像這個是公司它有像的項目珠有這個越歐國是大爆2000多人這個建議又不是我們的MVR就是這種越歐國的建議它是不錯的然後盤機呢盤機平台呢是一個發展提到它是一個多機群的管理平台那麼我們現在的規模達到了三萬個平板和接電然後有三百到四百個機群這個規模在國內的對於部署來說也是第一題類的這是不是最大的這個事情不是那麼確定但是又是第一題類的四萬它不是公語然後記憶這個盤機和盤舟和盤機平台的這個運用時間呢我們也要掌握了很多種類和形象可以看到有一些雲安天使為者可能雲亞等等但是這個越是接覆這個重任我們一個時遇時到暗暗的狀態這裡有一個展示就是有一個非常大的數字你後面很多個的對吧這個數字呢可以代表我這個國家的發展代表人的這個財務代表系統的裝飾駕駛但是我們一定要注意前面這個衣如果這個沒有這個衣就意味著國家出現穩定的問題在建築方面出現的系統出現一些它的安全那這個數字呢最終都會規律所有的努力都會複製東流這也是為什麼說安全工作的重要性越把它圖顯出來因此呢我們在盤舟平台的這個產品股價不足明確的把安全提出來明確說它不是一個Demov平台而是一個Demov平台它整個的這個設計當中安全是貫穿於整個平台的生活從生命中期的這個從Demov死到Demoxycone死亡的電腦其實有助於提升軟體開發的安全性和質量降低安全風險和漏洞帶來這種安全的這種這種成本其實而且它有助於迷和這個運維和安全權力之間的協作開發的運維和安全權力之間的協作打破公共間的這個一類形成安全的話接下來呢我分享一下我們這個實際的這個潘州的安全實驗的一些經驗在我們的安全的框架建設方中呢我們參考了這樣一個框架就是一個體系兩個方向四個環節一個體系呢其實指的是它是一個Demoxycone整體它不是只是做開發運維基於這個它打破了這個剛才說的開發安全運維之間的步道有效的管理各個部門之間的負責和應用改變了保護安全川普防護的這個劣勢二呢是指的兩個方向一個是開發階段一個是這個運維階段在開發階段要做到安全左翼上線階段在右層在運維階段呢要做到其實監控和響應這種是一個全光位的安排方式四呢是指的四個環節安全開發安全測試安全管控和安全運維在每個階段這個四個環節每個環節的我們都有相應的安全工具來輔助我們做好這個相應的安全管控就是這個安全的這個安排我們接下來就可以看埃克的製作分析下首先是安全的需求開發六星碼管理當中是交貢算費不佳問題發生得越早它的代價是越小在兩天研發的過程當中最早的階段不非就是需求分析階段所以呢在業務需求進來的時候我們的安全需求在這時候這時候就參與了到最後這時候參與了可以從這幾個方面威脅威脅安排的需求進行對於威脅情報部領域部作為對業務需求的進行安全分析產生相關的設計要求然後設計要求再進一步的產生它的清單最終在編碼階段我們的研發員基於這個安全設計我們都落實與本次需求相關的安全設計要求但是呢安全需求分析這個它的相關的清單是自動產生的它需要我們這個有經驗的人來輔助我們的產品經歷來輔助我們的駕駛師進行相關的分析所以呢這工具實踐的好壞其實也依賴於人的水平工具師他跟那個代碼掃描跟這個直接的工工掃描一樣這個是一個需要人更多的猜疑進去的一個工具然後第二個工具叫做SA掃描成份分析SA呢與開源致力和供應安全是一個非常息息相關的工具因為如今的染件好也大家都知道你在開發的時候呢大量的使用可以經過的方式借用一些開源的這個代碼開源的一個動畫甚至說我掌握裡面有水庫有馬賽克然後這個什麼放假的這個雖然說這個提升了研發的效能但實際上呢給以後大量的這個安全風險從安哥角度來看的話就是大量的風險比如說前年這個叫的全球都不太安定然後SPA還有一些其他的還有一些除了我們還有很多考慮說對於一些開源協議他們是有一些傳染性很典型的就是幾天二協議你如果一旦用了這個協議的一些開源代碼相應的你的整個改天版本可能都需要去開源但是實際上我們並不支持這樣公司並不支持這樣的一個協議所以在引用再引入這個開源代碼的時候也需要經濟研發的這個審核RCA就是把您從分析界公布其實就是下好了做的這種公布它可以去分析到開發部的使用的一個組件是否有上面的風險這個改天動動許可真和貴是否有這個頭部的用事件然後它可以對這個採購的成品兩件進行分解RCA的用途通常是在兩件開發階段因為它能夠是指你在開發的手機做了哪些這個組件但是在我們中央的中央動的世界當中我們把這個安全管控階段的資產清點和RCA進行的結合我們稱之為生產管控的問題上分析為什麼呢因為之前你只是知道你的產品你的軟體領域有哪些開發的組件但是並不知道它組在運行態的時候分布在了哪一核組機哪個機群哪個具體的應用腦子然後我們通過這個生產管控的結合樹立出了一個非常詳實的這個資產牌照這樣的話萬一有新的One Day Local爆出來的時候我們是通過這樣一個牌照迅速查找到這個組件影響的範圍從而能夠大大的從小受到的這個都是嗨的這樣給它的影響做影響的措施這個是RCA的動物然後第三個動物呢是RCA-SG這個動物其實比較常見而且是相對比較成熟的這個動物它也稱之為白河掃墊就是大家寫的在馬桌上有一個工具掃墊它有什麼它按照了一些規則可以語意去分析來判斷說你在那邊有沒有想到這個動物這個它的成效率非常高因為它就掃大碼但是有一個問題它的誤報率也非常高在實際的實踐當中發現它的誤報率是比較高的所以呢我們在實際的在實驗當中除了這種工具還需要安排一個人對他的結果進而生和進去複合如果發現這是一個誤報對現在的操作一路避免的能耗對工作產能上就要確認它是不是真的是學生所以呢除了用這個工具我們還做了一個事情就是制定我們開發的這個安全規範我們大家都知道開發都是有開發規範但是除了大家那個一些其他的規範叫我寒章制定了一個就在我們綜藝這邊制定了一個開發的規範安全規範然後並進行一個推廣然後叫開發部和寫出安全的態度這樣就是它相當於把這個安全動力更做一批了然後避免是你寫出這個全程在碼被掃了再改而說我們在最開始就讓它寫出一個滿地在碼這是在碼掃了對付那下面的工具呢它沒有剛才的工具也非常類似但它稱之為灰河測試也不是白河了灰河白河它也在做工作是知道的它是一個是你直接看的大碼一個是不能直接看大碼它呢確實是不能直接掃大碼而是來保證在保證這個白河測試去原邏輯完整的情況下在特徵的位置插入彈針我們也成為插裝然後通過碳針來獲取這個完整的請求待碼順序留待碼控制留基於這個請求待碼順序留來綜合生起舞與白河測試相比這個灰河測試我們也稱之為阿斯阿斯其實愛是交互的一個詞對那麼它具有這個無保慮高解處理的優勢但是它也有什麼什麼問題呢第一個它與這個它和支持的語言是一個相關的它要插到這個它的運行的這個反應要插一個裝插一個彈針其次呢它需要在共同測試的時候同步被執行也就是說如果你的共同測試根本就沒做到做到全面那麼你的阿斯有一個會和測試的功能也不會只剩那麼久所以覆蓋的方面是有一定的風險當然如果你拿這個共同測試來支持之前那時候非常全面那麼這個就是一個非常好的功能在所謂的時間因為我們也知道世界的共同測試我們每一次都會那麼那麼全的都成為所以我們在我們的世界當中是把阿斯跟剛才的在地雖然它減出一個它的覆蓋之地然後關於安全測試的第二根據呢是經常掃描這個經常掃描的功率是非常重要的為什麼呢是因為語言聲有一個特點就是有對於容器風險的很舒服一定要是在鏡像側而不是在容器側比你的容器你所做的面耕它不會被暴成了經常利益每次這個容器被重新拉系或者彈性擴攏的時候它仍然是從原出的這個鏡像的已經被拉系了它仍然是原出鏡像的這個覆蓋那麼你所對容器做的一些加固的修復沒有任何疑慮你所要做的如果說我們要修復的動作一定要寄回鏡像的鏡像什麼的工具呢或者是來幫助我們實現這個這一點它通過這個容器鏡像已經掃描了我們發現裡面的漏洞這是第一點第二個敏感的信息第三然後裡面是不是有些對文件比如說Wild Shell比如說運動碼還有一些配置是不合格的地方它的這個到發一個鏡像是其實到發是不合格的地方是不是用了這個裡面用了這個工具一些全線設定的工具等等這些都是可以通過鏡像掃描工具把它寄出來它不只是掃描這個工具然後最終給予我們一個修復建議然後我們把這個鏡像修復好然後來確保它發展的處是安全的這個是鏡像的掃描然後我們還有一個工具這個鏡像它很類似於鏡像掃描也是針對這個流水線構建出來的製品鏡像掃描不過它的對象不是一個同級鏡像而是我們手機APP比如說安卓或者iOS上的運動程序運動應用它檢測的我們是包括錄動運動件和一些裡面對個人信息的合格的要求是很滿足因為因為中移動也有很多這個APP大家也是很用的意思安卓測試階段的正常處剛才那些接下來我們添一個安全管控解的這個又提到了鏡像掃描它的這個鏡像掃描跟剛才的實驗能力是一致的但是它用在不同階段為什麼這個我們需要發展復復的這些鏡像掃描第一個當然是因為它非常重要第二點剛才的安全測試階段鏡像掃描意味著這個開發測試是在你流水線上控制的但實際上我們知道大家有時候會直接採購外部的這個軟件並不一定說都是自延的那麼對於這個外部採購來的軟件採購來的都是機型上你怎麼來保證它它的上線前一定要去經過我們的這個鏡像掃描然後這是第一點第二點其實是針對軟件的這個東西這個鏡像它的漏洞信息我們也是在吃魚吃魚的嘛你在發完的時候它是沒有漏洞的但是我們過了一週過了一個月漏洞又被爆出了新的了所以呢我們對這個我們製品我們一般用發布來經常存儲在發布上我們會定期的去做一下全量掃描然後針對這個新發現的漏洞如果說這個鏡像被掃描一些中央威嚇人來那麼我們按照我們的要求是不允許上線然後要求研發對這個鏡像進行加速修復後再存儲去要上線然後上線之後假如這個鏡像上已經是公關的已經上線了那麼上線之後我們還有一個工具這個容簽權它這個工具它會去針對運行時的東西進行這個容協修期的檢測比如說黑客要攻擊某個東西然後我們這個工具就可以可以對相應的這個攻擊行為進行檢測發現然後它是有兩種模式大家可以看到就是一種是相對來說可能常見一下就是以致的這威脅就是常見的不馬上傳啊未必能執行容器的好意反正是要等等這類的風險我們是相對是明確地寫的我們以致的威脅我們可以通過內置的規則來去做相應的檢控這個很類似於傳統IPS設備IPS設備檢控設備但是只不過它的一個對象是針對運行系統另外還有一類是未知的威脅能夠去檢控因為總是有一些新的攻擊方式你不知道一些新的這個攻擊員或者一些動動可能是一些零零的動物還沒包出來我們是不清楚的對於這種威脅有一些他們的方式這提到了一種方式因為容器和和主機上的傳統運行有點不太一樣容器相對的一個容器很相對是比較單一的只會有一種的這個當它的行為是相對來說是可以預期的那麼我們就可以對一個運行中的容器進行建網去聊天它的進程的行為它文件的圖寫它網路鏈接連接的它是訪問哪個是來訪問它然後找到一個威脅找到一個模型當有一些新的行為是這個模型之外的那麼我們就有理由消息這個可能是一個威脅當然不是那麼確定但是只是說它是可能性威脅我們舉個例子就是通常只能A訪問這個這個這個但有一天C來訪這個C根本就實驗不知道是誰對吧然後這種情況下我就可以報一個風險但我剛才提到這種這種方式它確實會更嚴格更敏感能夠訪問一些威脅的威脅但是呢也會有一個很大的問題就是誤報可能很多誤報可能很多所以呢就是對於我們自己在中壹的中壹的這個時間的時候我們將那個不同的模式在不同的階段去比如說大家也知道每年咱們有一個互網行動這個時候是要特別嚴格的而在這種階段就更嚴格的模式在日常的單權運行當中我們可能又面臨這些規則去不去脫所以呢不同的模式還有不同的這個市場就可以根據我們的需要進行一些領悟的調整入侵檢測就跟這個檢測是整個防護力調查中比較靠付的一環它的準確性也影響著我們生產環境的安危因此就是我們除了去去利用它利用好它現有的規則我們也需要對這個規則進行持續的經營維護維護這個資料來優化它的這個準確率降低它的誤報來提到它的這個降低誤報降低誤報提高整體的這個準確性剛才我們提到了一些工具啊那麼這些工具相互之間這些工具它是大部分工具然後我們這個跟我們的盤證大概是高度平坦的關係是什麼呢那麼我們這個平坦呢可以把這些工具給串連起來形成一個整體的安全流程流水線回復流水線在流水線當中我們加入了相應的安全檢測環節例如說一開始在做虛擬階段的時候就引入了需求分析在開發階段的時候就引入了原代麻省機然後在構建部署的光通我們就有這個剛才提到了NCA完成分析和這個一些機線的掃描工具和經向掃描構建而成還有經向掃描不要跟它掃描一遍然後在部署的測試法進行測試的時候呢有些人剛才提到的會合測試還有一些這裡還有我們剛才我沒有提到的它不是工具就是除了除了這個工具我們還採用這個人工我們有現在的安護糖安全護糖來進行手工的測試這個工具不是萬能的對吧然後最終它上線完成之後呢到了生產行內我們會進行經向掃描做機線的實施的監測這是一個整體的游場然後有可能有些這個實現通過發現我在這前面接著那個E24放假的時候提到了那上面是圖中有一個威哥林但我這裡就提到所以為什麼呢這功能實際上也是也是前些年一個熱點威哥林跟您近身就是一塊的威哥林但是在中移動這個為什麼沒有得到一個大推廣的時候因為它的配置側邊相位比較麻煩一些而如果一旦配置不合適那有可能會產生對業務的業務這個一張房這個隔斷那麼其實它業務所以呢我們現在更多的是把它當成一個處置手段如果你發現了如果確實有威脅我們可以把它進行把這個有問題的東西進行合理而並不是在一開始的時候完全都數得清楚這我理解也是我們未來提升的一個地方OK最後最後我做一下總結先說做到下的地方先做好我們通過這個盤中平台提供了一個一戰士的安全開發它裡面的工具準備是它豐富全開會第二呢原來的開發有什麼機構就是把一些工具可以嵌到這個流程裡面來對研發測試員的感知相對比較輕安全巧合身心第三呢整個每個階段都是先讓這個弱度發現這個體系然後結合它的使用場景能夠做到更好的這個發現更好的這個效果然後相對有些不太我們這個未來我們還需要繼續努化繼續提升的點其實剛才我們講這樣的研發測試員的感知的時候我剛才用了一個不是不感知而是輕感知為什麼是因為安全仍然在這個流程當中是作為門徑作為一個卡點方式嵌入的這個在C好處的流程當中雖然作為了但是如果說你發現它是有問題的也會中不讓它上線這也是感覺上但是這樣一效果所以後續我們會去思考說如何將這個安全嵌入到這個流程底面作為另一方這樣讓中國做的進一步的磨擋這個時候我們在目標做的方向然後第二點就是我們的這個工具之間如何去關聯分析使這個結果更準確比如說這個PVC英文安全路從開始就把那個剛才提到的為何進一步的這個關聯然後來確認都不能準確性因為剛才我提到了兩個工具都有一些缺點都有一些優點怎麼把它結合起來這是我們去未來進一步的方向然後還有一些新的技術我們也在考慮比如說SBOM這個跟冷成分析相關今天可能下午一場吧下午不如是專門同時來CCDSBOM大家可以聽一下也是非常非常重要它可以提升暖電的安全性的動力度還有一些BS技術就是攻擊模擬這樣可以來做這個安全運營還有一些我們剛才講的這個代碼分析還是很多的時代提交之後去它進行分析那能不能在IT工具裡面進行進去呢能不能在它寫代碼的時候我們就隨著進去檢測呢大家是用CCDS這些工具可能就是大家已經隨時檢測出來的但是安全呢現在還沒回到我們希望能夠進一步去最後我還要強調一下這個管理的重要性因為剛才講的非常多都是一些技術一些工具但是這場大家如果是專業做安全的都一定聽過這一話就做吸塵管理三番技術所以這個潘州Dexecos建設的工具我們只是一個工具brush真正要把安全工具做好的話我還需要在管理房間做一些事情例如第一個藝術一些進攻場面能通過不斷的宣冠讓這個開發測試運回當然難兌能更有效地結合起來然後不能滿臂大意對於的問題安全問題要重視實際上我們日常的安全工的問題其實因為綜藝是一個國企比較大企實際上經常可以收到這個我們是保持這個警惕第二個就是建立規範聯合執行剛才我們也知道就是有規範我們防護落地這樣才能夠而這就是依賴工具你沒有工具有工具在並不定執行第三是進行演練這次有效性嗎你的各種應對方案是沒有效的我們確定如果實踐才是檢驗這個真理的執行標準才是檢驗以各種防護措施適度影響的真正的標準第四點就是持續營持續更新我們的工具採用來放棄你你的漏洞不去更新不去維護大家也沒有用然後你的各種保護你的遭遇手段這些都是要要做的去繼續更新維護的也沒有絕對的安全但是一大防風風險這樣所以這樣OK最後這個是我們中國移動的一個通通號成州上公共盤期歡迎大家關注一下我這個通通號通通號我們會不當然是分享明元生的知識和一些經驗最後暫時感謝一下就到此為止吧大家感謝老師有分享還有三個我其實大概聽很多其實我們現在體制三個我們安全左右吧就是這個很長的這個另外就是其實在三個往上說的話就是軟件供應的安全或者是天軟軟件供應的安全劉老師給大家分析了很多就是我們現在有一個QR就是有一個是有問題我可以取收視野一下謝謝第一個是是您剛才寫了很多ICA還有CAS的什麼的工具想問一下我們用的是資源的工具還是說用第三方或是開源的工具來做的這個工作另外一個問題因為每次掃描其實它也是有成本的那我們掃描這個體制或者什麼都繼續做這個在決定方面有什麼建議第一個問題是這個工具的技能還是還是出外財的終於這邊來看目前我們是外財我們是外財為什麼是因為我們的最核心的東西它是把它的業務但是放在大號因為終於終於本身我們的員工屬它是有限的所以要藉著社區藉著整體的大家共同的來把它貢獻做好因為俄羅斯瓦克一人走得快所以一個社區或者說一些夥伴的方案是不是非常有必要而且一句炸彈第一個問題第二個問題是關於這個掃描頻率實際上像代碼這個掃描頻率正常是在提交所出發的那些然後對於鏡像的東西掃描的話我們這邊的事件是每個月可以存量的這個長度每個月做一次全面都不耗因為我們維護的這個鏡像的數量也是非常龐大的一個大一個字體就更多嘛所以你想每天或者每周確實不現實就要維護這個人謝謝謝謝劉老師就是我大家沒關係我們有個聰明群劉老師我們都會把他謝謝劉老師我們接下來