柚子快報(bào)邀請(qǐng)碼778899分享：安全上半年工作

http://yzkb.51969.com/

提示：文章寫完后，目錄可以自動(dòng)生成，如何生成可參考右邊的幫助文檔

安全上半年工作

前言一、安全運(yùn)營(yíng)1. QSRC2. 風(fēng)險(xiǎn)管理3. 代碼檢測(cè)4. 其他

二、安全技術(shù)1.國(guó)密機(jī)房建設(shè)2. 質(zhì)保&信息安全流程討論（IPD2.0共創(chuàng)）2. 邊界資產(chǎn)梳理2.IAST2. BSD項(xiàng)目交付3. 北三信使4. 業(yè)務(wù)評(píng)審5. 阿里云6. 編碼要求

三、安全產(chǎn)品1. 安全評(píng)審1. 安全月報(bào)2. 風(fēng)險(xiǎn)管理3. 代碼披露2.讀入數(shù)據(jù)

總結(jié)

前言

提示：這里可以添加本文要記錄的大概內(nèi)容：

例如：隨著人工智能的不斷發(fā)展，機(jī)器學(xué)習(xí)這門技術(shù)也越來(lái)越重要，很多人都開(kāi)啟了學(xué)習(xí)機(jī)器學(xué)習(xí)，本文就介紹了機(jī)器學(xué)習(xí)的基礎(chǔ)內(nèi)容。

提示：以下是本篇文章正文內(nèi)容，下面案例可供參考

一、安全運(yùn)營(yíng)

示例：pandas 是基于NumPy 的一種工具，該工具是為了解決數(shù)據(jù)分析任務(wù)而創(chuàng)建的。

1. QSRC

審核48，嚴(yán)重1 高危1 中危2 低危14.

2. 風(fēng)險(xiǎn)管理

24年1～6月共160條風(fēng)險(xiǎn)，修復(fù)中13條，閉環(huán)147條風(fēng)險(xiǎn)，閉環(huán)率%。

3. 代碼檢測(cè)

代碼檢測(cè)規(guī)則過(guò)濾審批166條記錄。

4. 其他

平臺(tái)研發(fā)反饋的duboo服務(wù)日志異常，云上流量日志分析及運(yùn)維端口抓包均未發(fā)現(xiàn)異常。提供系統(tǒng)端口監(jiān)控腳本由運(yùn)維協(xié)助抓取日志，未見(jiàn)進(jìn)程異常，基本排除被攻擊的可能。阿里云WAF告警*.api.qxwz.com超過(guò)閾值，運(yùn)維上報(bào)一個(gè)IP定位屬地山東青島的專線IP 112.250.69.18、短時(shí)間高頻公網(wǎng)掃描行為觸發(fā)CC防護(hù)攔截量(5m)連續(xù)2分鐘>30000告警，日志只有1.activity.docs.api.qxwz.com這個(gè)無(wú)效域名，經(jīng)日志分析屬于常規(guī)外部掃描探測(cè)行為。recap桶的計(jì)費(fèi)異常分析 因未知公網(wǎng)IP 47.101.164.50 對(duì)馳觀的saas圖片 進(jìn)行持續(xù)GET請(qǐng)求，導(dǎo)致了公網(wǎng)計(jì)費(fèi)異常（每月200-300元）。 已告知recap桶相關(guān)方，本周進(jìn)行流量切換或公網(wǎng)加白IP報(bào)備，下周將對(duì)47進(jìn)行IP攔截。recap桶的計(jì)費(fèi)異常情況后續(xù) 現(xiàn)實(shí)捕捉亞松反饋公網(wǎng)測(cè)試應(yīng)用存在后端走公網(wǎng)調(diào)用的情況、已建議切換為內(nèi)網(wǎng)調(diào)用recap的方式。 立威反饋調(diào)用recap桶連接異常，確認(rèn)為馳觀sadk簽名時(shí)的header格式問(wèn)題，與ram策略無(wú)關(guān)。 對(duì)公網(wǎng)IP 47.101.164.50的攔截ram配置已同步佳星，待運(yùn)維變更。協(xié)助業(yè)務(wù)運(yùn)維檢查uat域名疑似造acl策略攔截的問(wèn)題，確認(rèn)無(wú)需調(diào)整WAF。武大挖礦主機(jī)日志分析，建議1刪除測(cè)試賬號(hào)2清理可疑可執(zhí)行文件3加固ssh連接策略。ASRC遺留的位置APP工單越權(quán)回復(fù)漏洞，本周驗(yàn)證代碼及接口復(fù)測(cè)均通過(guò)、已關(guān)單。整理國(guó)護(hù)、護(hù)網(wǎng)期間攻擊手法、規(guī)避方式及相關(guān)PPT資料，同步給帥領(lǐng)作為宣貫素材參考。發(fā)現(xiàn)一個(gè)開(kāi)放在公網(wǎng)側(cè)的向日葵服務(wù)端歷史系統(tǒng)，提供客服進(jìn)行設(shè)備遠(yuǎn)程使用，版本安全性正在評(píng)估中。告警發(fā)現(xiàn)云上172.16.217.240、172.20.6.182兩臺(tái)存在CVE-2021-4034提權(quán)漏洞poc腳本、已聯(lián)系當(dāng)事人刪除。

二、安全技術(shù)

1.國(guó)密機(jī)房建設(shè)

【國(guó)密機(jī)房】德清國(guó)密機(jī)房新設(shè)備上架完成，江南天安加密機(jī)、簽名服務(wù)器、KMS、DB服務(wù)及衛(wèi)士通SCM、Nginx服務(wù)部署完成，存量灣谷ukey等數(shù)據(jù)同步至德清國(guó)密機(jī)房。下周運(yùn)維配置路由走通3443映射后，由嵌入式同學(xué)支持聯(lián)調(diào)測(cè)試、驗(yàn)證新舊機(jī)房的服務(wù)兼容性。國(guó)密機(jī)房部署的部署架構(gòu)示意圖、資產(chǎn)服務(wù)清單、賬號(hào)密碼等整理完成，本周站網(wǎng)和運(yùn)維側(cè)的網(wǎng)絡(luò)路由仍與研發(fā)uat環(huán)境調(diào)通、存在延期風(fēng)險(xiǎn)。國(guó)密機(jī)房的詳細(xì)拓?fù)鋱D繪制完成，站網(wǎng)及運(yùn)維側(cè)到北京測(cè)試的網(wǎng)絡(luò)本周已協(xié)商打通 能夠進(jìn)行下一步聯(lián)調(diào)測(cè)試。另外江南天安和衛(wèi)士通此前共用的數(shù)據(jù)庫(kù)賬號(hào)進(jìn)行了重建及配置修改，驗(yàn)證服務(wù)正常，規(guī)避了等保合規(guī)風(fēng)險(xiǎn)。此前江南天安安裝失敗的SSLVPN組件進(jìn)行版本確認(rèn)，重新更新上傳包，下周能夠重裝和驗(yàn)證。德清國(guó)密機(jī)房搬遷項(xiàng)目，平臺(tái)及站網(wǎng)CA證書申請(qǐng) 聯(lián)調(diào)測(cè)試正?？捎谩Ｊ煜ぜ用軝C(jī)服務(wù)軟硬件架構(gòu)、整理的相關(guān)文檔資料。德清機(jī)房的云側(cè)目前聯(lián)調(diào)正常，端側(cè)聯(lián)調(diào)仍在準(zhǔn)備中。德清國(guó)密機(jī)房軟卡服務(wù)的公網(wǎng)網(wǎng)絡(luò)配置完成，現(xiàn)提供/scm-api接口供終端設(shè)備使用、研發(fā)配置固定IP即可正常測(cè)試聯(lián)調(diào)。

2. 質(zhì)保&信息安全流程討論（IPD2.0共創(chuàng)）

為解決安全響應(yīng)被動(dòng)、時(shí)效/準(zhǔn)確性不高、輸出與實(shí)情不匹配的問(wèn)題與質(zhì)保團(tuán)隊(duì)討論流程問(wèn)題，希望加入IPD2.0共創(chuàng)。與質(zhì)保確認(rèn)日后信息安全團(tuán)隊(duì)能夠在部分質(zhì)保TR1階段通過(guò)子流程介入產(chǎn)品立項(xiàng)/評(píng)審環(huán)節(jié)，便于盡早的進(jìn)行威脅建模和安全評(píng)估。向質(zhì)保雯娟提供 IPD&安全要求及卡點(diǎn)評(píng)估表：https://qianxun.yuque.com/awslllll/fqv6zu/heb84ds3pcvgczgv 。下周將組會(huì)解答質(zhì)保同學(xué)疑問(wèn)的地方。重新梳理 IPD&安全要求及卡點(diǎn)評(píng)估需求：https://qianxun.yuque.com/awslllll/fqv6zu/heb84ds3pcvgczgvIPD&安全要求及自評(píng)估表，本周已同步質(zhì)保團(tuán)隊(duì)用于日后公司IPD質(zhì)保TR1～6階段的環(huán)節(jié)評(píng)審。后續(xù)將輸出信息安全自評(píng)問(wèn)卷用于安全驗(yàn)證卡點(diǎn)。

2. 邊界資產(chǎn)梳理

梳理千尋APP、SDK資產(chǎn)、流程、安全加固現(xiàn)狀，進(jìn)度30%。邊界安全資產(chǎn)盤點(diǎn) 本次邊界安全資產(chǎn)盤點(diǎn)將圍繞現(xiàn)有產(chǎn)品、項(xiàng)目、客戶線，補(bǔ)充45項(xiàng)資產(chǎn)安全標(biāo)記。安全漏洞風(fēng)險(xiǎn)管理體系建設(shè) 已初步梳理完成 安全需求評(píng)估表，評(píng)估大類涉及業(yè)務(wù)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全、安全檢測(cè)五個(gè)部分 39項(xiàng)。邊界資產(chǎn)：邊界網(wǎng)絡(luò)資產(chǎn)盤點(diǎn)，發(fā)現(xiàn)問(wèn)題資產(chǎn)記錄52項(xiàng)，均已反饋運(yùn)維及研發(fā)進(jìn)行核實(shí)和閑置資源下線。細(xì)節(jié)如下：

2.IAST

線程熔斷、key定制化二開(kāi)需求邏輯對(duì)接，供應(yīng)商需要1周時(shí)間完成二開(kāi)，交付實(shí)施定于本月底前完成。

2. BSD項(xiàng)目交付

AWS的VPC Flow Logs的公網(wǎng)SLB、出向NAT（SNAT）日志數(shù)據(jù)采集的生產(chǎn)單接口配置完成，驗(yàn)證日志流入正常（原缺少IAM和policy），并補(bǔ)充配置文檔說(shuō)明。VPC Flow log配置方法已同步碩夫，AWS的威脅情報(bào)出入向流量標(biāo)記、IP標(biāo)記段已同步普全。BSD堡壘機(jī)IP訪問(wèn)白名單策略確認(rèn)，將由運(yùn)維進(jìn)行策略變更。BSD項(xiàng)目，AWS-WAF遷移方案調(diào)研及生產(chǎn)測(cè)試域名的驗(yàn)證。本周對(duì)生產(chǎn)區(qū)域的測(cè)試域名接入成功，生產(chǎn)域名的ALB已切換至生產(chǎn)實(shí)例、待本地host驗(yàn)證后再與運(yùn)維確認(rèn)變更時(shí)間。完成歐洲美洲6個(gè)生產(chǎn)系統(tǒng)域名的AWS-WAF接入和驗(yàn)證。補(bǔ)充BSD云平臺(tái)日常安全運(yùn)維操作梳理語(yǔ)雀文檔。AWS的Palo Alto的XDR產(chǎn)品調(diào)研熟悉。對(duì)BSD切換AWS后的6個(gè)域名進(jìn)行安全復(fù)測(cè)、均存在指紋泄漏的低危風(fēng)險(xiǎn)，已同步運(yùn)維對(duì)默認(rèn)頁(yè)的指紋信息抹除。BSD的AWS漏洞復(fù)測(cè)完成，復(fù)測(cè)結(jié)果已郵件告知。BSD的BrokerVM方案在AWS上的測(cè)試部署，當(dāng)前進(jìn)度50%。

3. 北三信使

北三項(xiàng)目本周發(fā)布了合規(guī)加固后的代碼包及源碼，待業(yè)務(wù)該版功能測(cè)試驗(yàn)證中。本周暫無(wú)安全支持，下周將對(duì)北三測(cè)試定版源代碼做掃描和定版apk加固?！颈比攀埂拷桓?103版APK代碼檢測(cè)報(bào)告、0109版APK的加固、加固報(bào)告。代碼風(fēng)險(xiǎn)相關(guān)APP研發(fā)正在評(píng)估及加固，下周對(duì)齊進(jìn)度。

4. 業(yè)務(wù)評(píng)審

【重慶北斗示范】客戶要求我單位簽署網(wǎng)絡(luò)安全承諾書，本周與項(xiàng)目同學(xué)溝通要求將相關(guān)交付資產(chǎn)清單及已交付承擔(dān)的信息安全范圍重新明確后、再進(jìn)行交付安全測(cè)試。重慶北斗示范項(xiàng)目，之前要求的網(wǎng)絡(luò)安全承諾書沒(méi)有簽，下周再與現(xiàn)場(chǎng)運(yùn)維溝通確認(rèn) 項(xiàng)目安全需求?！旧掀?xiàng)目】審計(jì)存在路徑操縱風(fēng)險(xiǎn)，待相關(guān)高危代碼從原項(xiàng)目中移除后、重新出具M(jìn)ISRA C安全交付檢測(cè)報(bào)告。上汽項(xiàng)目交付MISRA C PASS版的安全檢測(cè)報(bào)告。上汽智己項(xiàng)目安全交付材料與客戶方review。上汽智己項(xiàng)目，安全交付材料補(bǔ)充了對(duì)于開(kāi)發(fā)設(shè)計(jì)階段的客戶review關(guān)注的部分?！続IGC&測(cè)唄】 當(dāng)前測(cè)唄的應(yīng)用場(chǎng)景在于固定指令識(shí)別，不涉及數(shù)據(jù)投喂及訓(xùn)練操作，調(diào)用通過(guò)SN設(shè)備號(hào)認(rèn)證方式進(jìn)行。 接入公網(wǎng)域名未鑒權(quán)及高頻防刷風(fēng)險(xiǎn)的風(fēng)險(xiǎn)，業(yè)務(wù)研發(fā)正在進(jìn)行接口風(fēng)控。 測(cè)唄APP三年未進(jìn)行過(guò)隱私合規(guī)檢測(cè)，下周會(huì)重新做一次、減少被監(jiān)管通報(bào)的風(fēng)險(xiǎn)。 測(cè)唄存儲(chǔ)和收集的數(shù)據(jù)字段，待業(yè)務(wù)整理后提供給我們做數(shù)據(jù)安全方面的評(píng)估。 測(cè)唄APP V3.3.8版本安全加固。安徽北斗綜合應(yīng)用項(xiàng)目 長(zhǎng)江堤壩軟著申請(qǐng)代碼披露，無(wú)開(kāi)源許可問(wèn)題，審計(jì)發(fā)現(xiàn)1處token泄漏 已要求先移除、后外發(fā)。廣德試車場(chǎng)平行世界（一期）項(xiàng)目代碼交付外發(fā)披露 和 歐米智能客戶定制化crc32算法工具外發(fā)披露，審計(jì)無(wú)風(fēng)險(xiǎn)、通過(guò)。協(xié)助劃線小車團(tuán)隊(duì)進(jìn)行APP安全加固。劃線小車0129版、北三信使1.1.0版、測(cè)唄1.3.2版 APP安全加固及驗(yàn)證。數(shù)字化中心鵬鵬反饋深信服防火墻出現(xiàn)“內(nèi)部橫向DDoS”告警，通過(guò)安全軟件檢測(cè)和人工溯源分析系統(tǒng)基礎(chǔ)配置、均未發(fā)現(xiàn)異常，標(biāo)記為誤報(bào)。阿里云AK安全事件調(diào)查，算法團(tuán)隊(duì)上周講的AK事件的結(jié)論是不存在風(fēng)險(xiǎn)。經(jīng)阿里云OSS日志查詢，事件運(yùn)營(yíng)同學(xué)反饋的事件請(qǐng)求返回碼為409錯(cuò)誤鏈接。且該AK屬于算法easybrowser公共工具使用的，且已在四個(gè)月前就已進(jìn)行過(guò)云安全訪問(wèn)控制策略加固，目前通過(guò)外網(wǎng)是無(wú)法調(diào)通的。另外，外部訪問(wèn)IP定位在北京西城區(qū)永慶胡同13號(hào)住宅區(qū)，可供事件運(yùn)營(yíng)同學(xué)進(jìn)一步追蹤定位。千尋SDK&真點(diǎn)科技SDK相似性對(duì)比分析。真點(diǎn)SDK相對(duì)簡(jiǎn)單、無(wú)鑒權(quán)功能、代碼重復(fù)率低，且兩個(gè)SDK的JNI類的函數(shù)重合率不到5%（39/684），評(píng)估無(wú)抄襲行為。協(xié)助瑞雅推進(jìn)千尋APP隱私合規(guī)整改。協(xié)助瑞雅推進(jìn)千尋位置APP隱私合規(guī)檢測(cè)的三方SDK檢測(cè)評(píng)估及使用聲明。北三信使V1.1.1、千耘農(nóng)機(jī)V1.9.0版 apk安全加固。農(nóng)機(jī)APP安全加固。千耘農(nóng)機(jī)APP 安全加固寶馬智駕項(xiàng)目，本周已確定測(cè)試方案并按計(jì)劃進(jìn)行現(xiàn)場(chǎng)測(cè)試、整體完成進(jìn)度35%，無(wú)明顯安全問(wèn)題。代碼衛(wèi)士部署和車載以太網(wǎng)抓包工具可能存在延期風(fēng)險(xiǎn)。寶馬智駕項(xiàng)目 奇安信已完成現(xiàn)場(chǎng)滲透測(cè)試，共發(fā)現(xiàn)安全漏洞18個(gè)（中危4低危14）本周已和項(xiàng)目組溝通確認(rèn)。 對(duì)于測(cè)試報(bào)告中的命名、格式等排版規(guī)范化問(wèn)題，已反饋奇安信進(jìn)行重新修訂以滿足客戶要求。繼續(xù)與奇安信修訂滲透測(cè)試交付報(bào)告、修訂細(xì)節(jié)、以滿足客戶要求。 奇安信滲透測(cè)試報(bào)告第5版審核、仍能發(fā)現(xiàn)大量細(xì)節(jié)不到位，在前36頁(yè)重新comment50處，已上升供應(yīng)商BD及領(lǐng)導(dǎo) 要求高度重視報(bào)告質(zhì)量。 奇安信滲透測(cè)試報(bào)告本周進(jìn)行3輪審核，先后對(duì)12處問(wèn)題進(jìn)行溝通修訂。 全部測(cè)試資料 已打包交付 BMW項(xiàng)目組。 與項(xiàng)目組溝通5處comment，暫無(wú)新增和修訂需求。 完成BMW寶馬項(xiàng)目 漏洞處置報(bào)告（中英文版），并交付項(xiàng)目組。北三信使新地圖geohash接口開(kāi)放公網(wǎng)，評(píng)估無(wú)風(fēng)險(xiǎn)。端產(chǎn)品研發(fā)部陳文偉想要申請(qǐng)一個(gè)數(shù)據(jù)庫(kù) 集中記錄 端設(shè)備信息，并且分別給三四家供應(yīng)商提供寫入/更新部分字段的接口。涉及所有的端設(shè)備的生產(chǎn)，板卡、Pbox、RTK、農(nóng)機(jī)、MR02pro、方向盤等等。已反饋?zhàn)屍鋬?nèi)部評(píng)估必要性。OneDNS安裝后30.90.20.7依舊存在XshellGhost后門木馬活動(dòng)事件告警，經(jīng)查是OneDNS未完全安裝VA導(dǎo)致無(wú)法攔截（只部署了2臺(tái) 其中1個(gè)節(jié)點(diǎn)掉線）。 OneDNS依舊存在3個(gè)DNS節(jié)點(diǎn)未部署VA：30.90.2.3、30.90.22.6、172.20.0.71，已反饋IT胡涵部署。官網(wǎng)風(fēng)控機(jī)器人通知邏輯升級(jí) 因特殊賬號(hào)通知消息大量無(wú)效，本周將千尋出口IP加白、機(jī)器人告警5條敏感規(guī)則補(bǔ)充的2點(diǎn)優(yōu)化需求與普全、麗娟共同評(píng)估，待排期。官網(wǎng)APP安全合規(guī)風(fēng)險(xiǎn)，因千尋位置APP引用了神策SDK躺槍、內(nèi)部協(xié)調(diào)失敗無(wú)研發(fā)資源修復(fù)，合規(guī)風(fēng)險(xiǎn)已同步法務(wù)知悉。北三信使 APP包安全加固。北三接口與官網(wǎng)混用token，存在繞過(guò)鑒權(quán)做私有日志回傳的安全風(fēng)險(xiǎn)。新能源動(dòng)力設(shè)備數(shù)據(jù)中心建設(shè)代碼外發(fā)，研發(fā)外包，其中涉及qam服務(wù)和二方包 待法務(wù)協(xié)議確認(rèn)。新能源能力設(shè)備數(shù)據(jù)中心建設(shè)項(xiàng)目代碼披露，審計(jì)無(wú)敏感配置外泄風(fēng)險(xiǎn)，涉及代碼項(xiàng)目聯(lián)合開(kāi)發(fā)場(chǎng)景、已要求申請(qǐng)方與法務(wù)約定好保密協(xié)議和軟著。神策SDK安全合規(guī)風(fēng)險(xiǎn)，神策已將整改的SDK隱私申明提交監(jiān)管復(fù)核。初步評(píng)估，監(jiān)管合規(guī)風(fēng)險(xiǎn)暫不波及官網(wǎng)、位置APP的神策SDK，最新隱私協(xié)議將follow神策SDK合規(guī)版。神策SDK合規(guī)修復(fù)。與億總、永波確認(rèn)本次修復(fù)需求及520前上線、與法務(wù)劉洋同步新版神策隱私合規(guī)協(xié)議，目前永波已發(fā)版、霄峰和原莉正在進(jìn)行回歸主流程測(cè)試。千耘農(nóng)機(jī)、信使APP 安全加固。海螺項(xiàng)目代碼披露，審計(jì)無(wú)敏感配置外泄風(fēng)險(xiǎn)，涉及代碼版權(quán)交付、已要求項(xiàng)目方與法務(wù)約定好保密協(xié)議和軟著。信使二代安全可行性評(píng)估及建議7條，已反饋PM。信使二代實(shí)名認(rèn)證可行性、安全性意義及實(shí)施需求與億總進(jìn)行確認(rèn)。二代實(shí)名制認(rèn)證安全需求同步劉熙。安全合規(guī)項(xiàng)目 配合瑞雅側(cè)對(duì)千尋官網(wǎng)系統(tǒng)的現(xiàn)場(chǎng)滲透測(cè)試工作。 其中1個(gè)sql返回默認(rèn)報(bào)錯(cuò)信息的風(fēng)險(xiǎn)已反饋官網(wǎng)排期月底前進(jìn)行修復(fù)。安全合規(guī)項(xiàng)目（通管局&觀安滲透測(cè)試報(bào)告審核和溝通） 原現(xiàn)場(chǎng)測(cè)試報(bào)告中的高危漏洞屬掃描器誤報(bào)注入，觀安將在復(fù)測(cè)報(bào)告中說(shuō)明。 其中一個(gè)SQL報(bào)錯(cuò)返回中危漏洞，因采用ORM框架評(píng)估能夠達(dá)到防注入的功效，無(wú)需修復(fù)。 報(bào)告中的中低危漏洞均不對(duì)生產(chǎn)系統(tǒng)影響，本次測(cè)試結(jié)果不會(huì)影響三級(jí)/二級(jí)過(guò)審。 配合瑞雅觀安技術(shù)面談，數(shù)據(jù)庫(kù)與調(diào)用程序之間應(yīng)使用加密協(xié)議通訊的問(wèn)題，在當(dāng)前未使用ssl協(xié)議通訊的模式下，有抽查通不過(guò)的風(fēng)險(xiǎn)。新能源能力設(shè)備數(shù)據(jù)中心建設(shè)項(xiàng)目，后期聯(lián)合開(kāi)發(fā)所使用的git和Maven系統(tǒng)將由供應(yīng)商搭建和運(yùn)維。ews-saas上線2個(gè)域名，ews-saas代碼項(xiàng)目中存在一處硬編碼，下一版將做sr配置。官網(wǎng)console控制臺(tái)英文和俄文2個(gè)域名、各7個(gè)接口做上線前測(cè)試，無(wú)風(fēng)險(xiǎn)。長(zhǎng)效星歷uat環(huán)境暴露公網(wǎng)地址供信使APP團(tuán)隊(duì)聯(lián)調(diào)，無(wú)風(fēng)險(xiǎn)。信使二代相關(guān)需求初步溝通完成，待相關(guān)方反饋（詳見(jiàn)周會(huì)郵件）。吉利項(xiàng)目demo代碼外發(fā)審計(jì)，通過(guò)。審批端算法工程包從VDI拷出，對(duì)導(dǎo)出文件做二進(jìn)制VDI外發(fā)檢測(cè)分析。神策Android SDK的6.8.0合規(guī)版已發(fā)布，本次神策更新，增加了可配置化的信息收集開(kāi)關(guān)；移除了對(duì)IMEI、EMID、IMSI以及運(yùn)營(yíng)商信息等敏感標(biāo)識(shí)的讀取采集能力。據(jù)說(shuō)工信部監(jiān)管內(nèi)部信息稱，Q2的APP稽查重點(diǎn)會(huì)放在企業(yè)數(shù)據(jù)收集合規(guī)說(shuō)明、合規(guī)采集可配置等方面，因此位置APP也需要盡快升級(jí)適配以避免監(jiān)管合規(guī)風(fēng)險(xiǎn)。華測(cè)要求在華測(cè)服務(wù)器上上傳千尋源碼并使用arm keil編譯工具、已拒絕。其他嵌入式PM開(kāi)發(fā)和編譯情況待調(diào)研。生產(chǎn)環(huán)境安裝arthas安全性評(píng)估，目前使用的arthas工具、評(píng)估缺少默認(rèn)鑒權(quán)屬性、研發(fā)暫無(wú)法升級(jí)到3.7.1版本之后，具體執(zhí)行由運(yùn)維操作、以確保安全生產(chǎn)穩(wěn)定性。鴻蒙系統(tǒng)不兼容starx中對(duì)稱加密的libencryptkey庫(kù)，已移除功能重打sdk。大數(shù)據(jù)外包項(xiàng)目，需要部署禪道，詳細(xì)安全要求已反饋佳佳。二代中兵卡python項(xiàng)目的代碼檢測(cè)，檢測(cè)詳情已反饋體良。二代端口SLB開(kāi)放評(píng)審測(cè)試，通過(guò)，具體decoder工具正在了解中?？釋W(xué)院培訓(xùn)視頻對(duì)外用戶組安全測(cè)試，評(píng)估無(wú)風(fēng)險(xiǎn)。人臉?biāo)⒖ǖ某潆姽馭LB端口安全評(píng)測(cè)無(wú)風(fēng)險(xiǎn)，準(zhǔn)許上線。寶馬的編譯文件披露檢測(cè)，無(wú)敏感信息，準(zhǔn)許外發(fā)。

5. 阿里云

整理云上Logstash策略，將pro-etl-network和pro-etl-syslog-test也同步遷移到新kafka-ltc中。余下無(wú)效策略下周存檔并刪除。

6. 編碼要求

開(kāi)發(fā)安全。在SR配置中心說(shuō)明中明確定義 不使用硬編碼 屬于開(kāi)發(fā)安全基線硬要求。

三、安全產(chǎn)品

1. 安全評(píng)審

安全評(píng)審RoadMap https://qianxun.yuque.com/awslllll/quhz3d/pex4y6olhncggvw6安全評(píng)審產(chǎn)品的需求評(píng)審：與研發(fā)側(cè)對(duì)齊需求和PRD。主要GAP在于前端構(gòu)建：A方案：計(jì)劃復(fù)用QBP前端錄入check項(xiàng)；B方案：調(diào)研番茄表單錄入問(wèn)卷。

1. 安全月報(bào)

【月報(bào)自動(dòng)化&風(fēng)險(xiǎn)管理2期儀表盤】安全運(yùn)營(yíng)月報(bào)QSRC、風(fēng)險(xiǎn)管理中涉及12個(gè)維度的統(tǒng)計(jì)指標(biāo)、當(dāng)前均為每月人工后臺(tái)拉取數(shù)據(jù)庫(kù)統(tǒng)計(jì)，希望得到后端排期支持 。https://qianxun.yuque.com/awslllll/lybucg/sb8r4tumw8akh0eg （另外，該部分?jǐn)?shù)據(jù)后端統(tǒng)計(jì)完成后同時(shí)能作為風(fēng)險(xiǎn)管理2.0儀表盤的后端底層數(shù)據(jù)）。

2. 風(fēng)險(xiǎn)管理

出現(xiàn)5處異常，已反饋研發(fā)同學(xué)排查修復(fù)中：

3. 代碼披露

代碼安全披露審核項(xiàng)和審核流程與此前負(fù)責(zé)審批和流程設(shè)計(jì)的同學(xué)進(jìn)行對(duì)齊。

import numpy as np

import pandas as pd

import matplotlib.pyplot as plt

import seaborn as sns

import warnings

warnings.filterwarnings('ignore')

import ssl

ssl._create_default_https_context = ssl._create_unverified_context

2.讀入數(shù)據(jù)

代碼如下（示例）：

data = pd.read_csv(

'https://labfile.oss.aliyuncs.com/courses/1283/adult.data.csv')

print(data.head())

該處使用的url網(wǎng)絡(luò)請(qǐng)求的數(shù)據(jù)。

總結(jié)

提示：這里對(duì)文章進(jìn)行總結(jié)： 例如：以上就是今天要講的內(nèi)容，本文僅僅簡(jiǎn)單介紹了pandas的使用，而pandas提供了大量能使我們快速便捷地處理數(shù)據(jù)的函數(shù)和方法。

柚子快報(bào)邀請(qǐng)碼778899分享：安全上半年工作

http://yzkb.51969.com/

精彩鏈接