T3出行X长亭科技|安全向左一步,出行畅通无阻
2024-6-28 16:48:33 Author: mp.weixin.qq.com(查看原文) 阅读量:2 收藏

2023年伊始,各行业进入复苏通道,网约车出行行业订单量连创新高。
根据T3出行2023年度报告显示,订单量同比大幅增长,用户打车需求也增长显著。在行业复苏及消费分级时代到来的背景下,T3出行在业务量上取得良好表现的同时,针对自身数据安全与研发安全发展投入了持续性的关注和建设。

01
安全融入开发,系统健康上线
作为国内首家基于车联网的出行平台,T3出行高度重视安全建设。
在技术保障上,通过先进智能监控系统实时监测车辆行驶状态和司机行为。
在开发流程上,22年就将安全自动化检查逐步融入研发流程的每个环节中,其中API安全检测就采用了长亭科技自主研发的洞鉴(X-Ray)安全评估系统,实现“研发线”与“安全线”并行,让安全减少阻断和干扰、让研发专注于业务和编码,在保证安全底线的同时、大幅提高整体研发效率和业务需求迭代速度,更好更快的为司乘提供多元稳定的产品服务。
02
安全进阶,开启自动化剧本

T3 出行积累了海量人、车、路大数据,每日数据量超20TB(源自2022年统计数据),并在智慧交通、人工智能大模型等领域持续布局。受智能变革驱动,T3出行技术部门也努力向着“研发全流程自动化”转型,其中也包括测试环节的“安全自动化”。经过两年的沉淀和打磨,T3信息安全在SDL流程基础上打磨出一套自动化剧本,进而形成了一个成熟、可落地的SDLC 流程:

T3出行将SDLC剧本流程主要分为安全测试前、安全测试中、漏洞审核与修复三个阶段:
安全测试前

01

扫描策略制定:

安全运营人员需预先开展扫描策略的自定义工作。当下,T3出行在扫描策略部分的处置方式主要为针对严重及高危漏洞插件,还有供应链依赖组件相关的插件分别单独构建,并预先设置为默认的扫描策略,与安全开发平台实现对接。

02

API资产信息采集:

T3内部自研的AI代码辅助功能能够自动识别源码中的API基本信息、进而推送给T3 SOC(安全运营中心);同时,业务测试人员测试时产生的API日志也会被T3日志中心采集,T3 SOC实时拉取日志解析其中需要的API详细信息(比如消息体等)。

03

特殊资产单独报备加入白名单:

针对部分单独报备的特殊资产会进行加白处理或采用 X-Ray 专项无损检测规则进行扫描。通过 X-Ray 定制化的扫描规则,能够快速感知哪些 POC 会产生脏数据,哪些 POC 可能对业务稳定性造成影响。

至此,T3出行完成全量API资产表的构建,作为任务的扫描源推进到扫描器。

04

设置认证token

安全运营人员针对需要token认证的接口,编写脚本实现自动登录/注册,进而在扫描前自动获取认证token供X-Ray使用;没有注册功能的环境当系统发布后会提醒安全运营人员,安全运营人员只需要人工配置认证信息给到应用环境即可。
安全测试中

进入安全测试流程后,将启动全自动化流程脚本:

01

当新系统发布到应用管理平台后,业务测试人员接到上线测试通知便开始直接进行业务功能测试;

02

在安全测试环节中,安全开发平台会自动依据目标环境名称和目标地址,获取系统对应的 API 资产以及系统对应的登录认证信息以完成登录授权;

03

接下来将API资产当作扫描目标来触发扫描器进行扫描,整个扫描过程实现完全自动化;

04

在安全任务扫描期间,安全运营人员需单独关注异常的扫描行为并进行点对点处理,若没有异常扫描行为则只需等待扫描结果完成。

审核与复测
首先,安全运营人员对漏洞扫描结果进行审核,并下发工单,此时研发人员接收工单后针对严重及高危漏洞展开风险修复工作;在漏洞修复完成后开始进行回归测试,当业务重新提交到应用发布平台时会再次自动触发漏洞扫描任务,同时自动完成安全性测试,如此循环,直至该业务最终修复完成并进入上线发布阶段。

如今,T3出行通过不断地努力和技术创新,在其自动化建设方面取得了显著成果,在实际安全测试阶段已经成功实现了极为便捷高效的“一键测试”效果,无需繁琐的操作和复杂的流程,仅需简单的一个指令,就能够快速启动全面且精准的安全测试,充分展现了其在安全测试领域高度的智能化和自动化水平,这不仅大大提升了工作效率,也为用户的出行安全提供了更为坚实可靠的保障。

点击“阅读原文”申请试用方案


文章来源: https://mp.weixin.qq.com/s?__biz=MzIwNDA2NDk5OQ==&mid=2651387877&idx=1&sn=25adb8788a3b51a8323a8bf8d4ddd485&chksm=8d39866dba4e0f7b078318ab9f466cd1ccd70a1525b214c214db8ce5ebd0a8342e7d49a526a6&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh