近日,第九届ISC互联网安全大会于北京国家会议中心举行。华为云PaaS服务产品部安全专家受邀发表题为《华为20年研发安全积累,助力企业落地》的主题演讲。
在过去20年的演进中,华为积累了深厚的研发安全文化、流程和工具链,经历了超大规模复杂场景的考验。例如,每天执行的代码安全扫描量超过500亿行,每天执行的Web和主机漏洞扫描任务近10万个等等。这些积累,形成了华为云5大安全服务,可以帮助企业获得端到端的研发安全体系和能力。在敏捷开发过程中内置安全措施,让应用“天生安全,健康成长”。
华为云PaaS服务产品部安全专家在现场发表演讲
威胁建模服务:在产品设计早期识别并消减风险
威胁建模服务,对业界公认的方法论进行了升级,用于系统威胁分析,提供分析维度、参考案例,辅助进行安全设计,识别风险;识别风险后,智能推荐消减措施及测试用例,输出分析报告;内置的华为长期积累的安全风险识别方案、消减方案、设计方案、测试用例、场景样例与知识,降低企业安全设计门槛。
隐私合规服务:解读GDPR、等保等法律法规,帮助企业满足合规要求
隐私合规服务,根据对GDPR、等保等的解读与分析,提供工具,生成隐私合规报告、隐私声明,帮助企业合规设计。根据隐私合规设计方案,自动生成和执行测试用例,最后给出隐私合规验证报告。内置的的隐私设计框架,可以帮助企业快速形成行业解决方案并复制至其它行业。
代码安全服务:多种源码安全静态检查,将风险拦截在编码阶段
该服务支持:
拦截多种语言安全问题:今年将陆续支持C/C++/Java/JS//Go语言的安全问题的检查,拦截OWASP Top10、CWE等多类型的安全漏洞,为华为云提供IDE级代码检查能力、为提供代码提交、合并阶段的门禁级检查,以及流水线自动化测试、出包阶段的版本级的安全问题检测。
高效闭环发现的安全问题:支持扫描告警屏蔽、屏蔽结果继承、告警修复建议等功能,协助问题快速分析和闭环。
内置华为优秀实践规则集、行业规则集:提供金融、车企等行业特有的安全编码扫描规则集,并提供华为云推荐规则集的合规检测。
漏洞扫描服务:多场景高精度漏洞扫描,走好上线前最后一公里
该服务已在华为云发布,并计划在下半年进行重大升级,支持:
全场景漏洞覆盖:覆盖Web、主机、镜像、开源软件、移动应用的漏洞扫描和隐私合规检查能力,支持华为、OWASP等业界优秀实践,支持等保2.0等标准。
专业的修复建议:提供典型Web漏洞精准检测,在CVE漏洞评估方面更贴近真实威胁;在APK开源组件扫描和信息泄露检测方面,具备更精准的检测能力,因此可以提供更专业的修复建议。
可升级的漏洞检测能力:聚焦最新安全漏洞,动态扩展扫描能力;可灵活集成第三方漏洞扫描引擎,统一报告展示,支持漏洞去重,也可被集成至第三方持续集成/持续发布的流水线中。
研发安全专家服务:企业既有工具,又建立安全文化
研发安全专家服务,可以为企业提供研发安全水平评估、检查能力定制、工具工程能力定制、安全运营体系咨询、设立工具评估标准等。帮助企业不仅用好安全工具链,更深刻认识安全流程如何协调团队和工具的使用,最后形成牢不可破的安全文化,将安全融入企业的基因中。
上述研发安全服务,许多能力已经上线国内领先的平台——华为云,并将持续迭代,降低企业安全研发门槛,提升效率。华为云希望与更多的合作伙伴一道,进行产品、技术、商务等层面的合作,共同构建安全生态,为用户打造领先的应用安全解决方案。
展会先锋:
商会协会:具有影响力的企业名录,助力你业绩高飞。
名家讲堂:具有最全老师阵容,帮您事业家庭腾飞。
全国展会,全国商会,全国协会,全国企业名录,全国就业会刊持续更新中,每天每周每月都会更新,感谢持续关注,
展会先锋;24小时客服微信:371240006(展会名录全拼) 土豆号; yiye1314qq
持续更新中。可以充值会员下载您需要的任何资源,有问题客服24小时在线
