在各系统正常运行期间，我们需要利用各种安全入侵防护产品(自我研究or采购)，如IDS、WAF、RASP等进行深度系统检查，利用风控控制和法务部门的力量，追踪和安全应急响应发生的风险事件。为什么这里说的是深度检查而不是深度防御，实际上早期使用安全产品时，需要人工操作，产品联动不自动化。

当然，因为没有购买同样的产品，所以可能会引起兼容性不足的问题，工作量指数水平上升。其实，我认为这项工作，无论是制造商自己做的，还是团队人工补充信息流，都比较次要。更重要的是，优化安全运营规则，优化更严重的事务和更优先的水平，不是淹没在大规模的警告和激光动态展示大盘子中，而是早点被感知和应急处理。

自动化能力建设。在这个阶段，我们投入了更多的队的安全自动化能力，解放技术人工进行渗透测试。在此期间，我们对缺乏的安全能力进行了目标行业互联网企业的基准分析，发现主要有几点需要改善。黑盒的安全能力。我们利用在线测试环境和镜像流量，重点建设主要被动扫描器(DAST)，其中包括黑盒泄漏扫描和基础检查平台，同时加强交互扫描(IAST)能力，对代码进行污点插入和编号，监视系统的输出和落地执行结果。

白盒的安全能力，白盒扫描(SAST)访问了多个扫描引擎。质量CICD生产线平台除了优化安全插件外，还对商业化的白盒安全产品进行了外部采访，除此之外，在自我研究的引擎中，还添加了Git平台的关键词和配置、部件版本依赖于检查(支持分支)，进入生产线后

数据的合规检查。在这里，我们重点检查数据库中存储的敏感数据字段，并结合XIDS监控流量中包含的敏感数据。同时，结合DLP监督的记录和明暗水印机制的设计，对数据泄漏事件发挥了一定的预防管理作用。

安全SDK管理，因为每个公司的技术堆栈都不同，所以对于内部应用最多的技术堆栈代码，开发安全SDK也很重要。除了本身对研发团队提供安全编码制度外，我们还为研发团队提供了安全SDK，还提供了IDE安全检测插件，通过微创方式，在一定程度上保障了编码的安全。当然，这样生产的代码在交付给第三方合作制造商时，可能会单独开发脱敏分支，在一定程度上提高成本。但是，考虑到这方面的业务量很少，还是很划算的。