特色1 乐天产品检查以请求为单位,而非以URL或IP为单位。例如,这个简单的登录页面就有高达8个请求,需要各自做一轮资安检查。摄影/郭又华
特色2 提交检查需求时,开发团队需要给资安团队详细的产品信息,包括HTTP请求方法HTTP Method、目标URL,以及各种其他细项参数。摄影/郭又华
特色3 进行资安检测时,乐天资安工程师会拿到一份详细的检查表,以Web产品来说,会有超过100个项目。工程师测试完,还须在检查表上逐一标注完成。摄影/郭又华
特色4 开发团队评估漏洞无法在产品上线前修补时,便须由开发和资安团队主管共同决定是否承担此风险,并拟定长短期应对计划。CVSS分数越高,所需签核主管等级越高。摄影/郭又华