基于安全開發響應Log4j天產品應急響應中心（AntiySRC）概覽：內部SecDevOps實踐分享通過構建安全工具鏈對SecDevOps框架的實踐嘗試源碼安全掃描套件AntiySCS將AntiySAST與AntiySCA集成至DevOps流水線應用威脅自免疫AntiyRASP傳統流量安全設備與運行時自我保護技術配合起來相得益彰實例展示：響應Log4j漏洞模擬遭遇Log4j漏洞后，通過上述工具進行響應實踐。內部SecDevOps實踐分享通過構建安全工具鏈對SecDevOps框架的實踐嘗試SecDevOps構建工具鏈內部實踐AntiySASTAntiySCAWAF、探海WAF、探海…+應用威脅自免應用威脅自免Page4源碼安全掃描套件AntiySCS將應用靜態安全檢測AntiySAST、軟件組成分析AntiySCA二者集成至DevOps流水線Page6源碼安全掃描套件其一：應用靜態安全檢測AntiySAST源碼安全掃描套件其一：應用靜態安全檢測AntiySAST?SQL注入、XSS、CSRF、硬編碼密碼、LDAP注入、錯誤的配置、服務端偽文件包含漏洞、XML實體注入、命令注入、代碼注入、信息泄露、反序列化漏洞、邏輯錯誤、廢棄函數、不安全的函數、不安全的加密方式等。?JavaPage7AntiySAST在某實際項目中的掃描報告截圖Page8源碼安全掃描套件其二：軟件組成分析?AntiySCA（AntiySoftwareCompositionAnalysis）?主要能力?識別代碼庫中的開源軟件，及其對Page9源碼安全掃描套件2：軟件組成分析AntiySCA源碼安全掃描套件2：軟件組成分析AntiySCA?支持語言?特性優勢源碼安全掃描套件AntiySCS源碼安全掃描套件AntiySCS?集成了AntiySCA和AntiySAST，能夠旁路接入現有的CI/CD流水線，降低了部?工具自動化->持續安全（CS）源碼安全掃描套件AntiySCS全局視圖?篩選維度?風險分布圖?風險趨勢圖應用威脅自免疫AntiyRASP傳統流量安全設備與運行時自我保護技術配合起來相得益彰應用威脅自免疫AntiyRASP應用威脅自免疫AntiyRASP?RASP是什么技術業務響應流程中，保證各關鍵功能函數執行前（如：反序列化前、文件?支持語言WAF與RASP配合起來相得益彰應用威脅自免疫（AntiyRASP）以WAF為代表的流量檢測安全設備檢測范圍只有觸發了業務系統中的漏洞，應用自身即將出現異常行為前，才會進行記錄或攔截。無法記錄攻擊嘗試的行為，但單條告警價值更高。就可以發現攻擊者。變形繞過/加密請求對于惡意變形Payload或者加密請求，在經過功性能要求對應用會造成一定的性能消耗不影響應用自身性能。告警中包含完整的用戶輸入、請求信息、漏洞包含請求信息和響應信息，因成本考慮可能存在截斷情況。但可進行多請求的響應Log4j漏洞模擬遭遇Log4j漏洞后，通過上述工具進行響應實踐。ApacheLog4j漏洞?影響程度?影響原因?攻擊載荷及變形舉例?${${::-j}${::-n}${::-d}${::-i“調用棧檢測算法”“危險命令攔截算法”“命令執行全攔截”“調用棧檢測算法”“危險命令攔截算法”“命令執行全攔截”依靠威脅情報庫，可攔截DNSlog探測，及“調用棧檢測算法”“調用棧檢測算法”Log4j漏洞披露后，工具鏈持續響應?應用威脅自免疫(AntiyRASP)新增檢測算法?“JNDI協議檢測算法”，開啟后，將不限制于命令執?應用靜態安全檢測（AntiySAST）添加了新的污點傳播規則，幫助開發者嘗試發現代碼中是否存在于類似的漏洞。Log4j漏洞披露后，工具鏈持續響應Log4j漏洞披露后，工具鏈持續響應?軟件組成分析（AntiySCA）增加Log4jRCE漏洞信息（CVE-2021-44228）通過AntiySCA，可以發現由間接依賴所導致的供應鏈威脅Page20安天SecDevOps工具鏈工具名稱主要功能執行階段解決的問題應用威脅自免疫（AntiyRASP）為應用提供運行時行為防御運行時0day漏洞防御、兜底軟件組成分析（AntiySCA）代碼提交后解決項目中1-day、Nday漏洞應用靜態安全檢測（AntiySAST）基于靜態污點掃描的白盒掃描工具解決項目自身安全隱患源碼安全掃描套件將安全工具鏈集成至SecDevOps流程中代碼提交后（創建、驗證、預發降低集成