一段代碼便可虧損數(shù)億美元?2012年，騎士資本的工程師僅僅因?yàn)榉?wù)器升級(jí)出現(xiàn)紕漏，導(dǎo)致了騎士資本在不到一個(gè)小時(shí)的交易時(shí)間里損失了4.6億美元。并且有統(tǒng)計(jì)表明，程序員平均每寫1000行代碼就出現(xiàn)一個(gè)缺陷，而可以被攻擊者利用的缺陷，就成為了漏洞。而隨著近些年數(shù)字化轉(zhuǎn)型的持續(xù)深入，無(wú)論是開(kāi)發(fā)人員的疏漏還是漏洞，都將會(huì)對(duì)實(shí)際的生產(chǎn)生活造成巨大的影響，軟硬件安全開(kāi)發(fā)與運(yùn)維的重要性不言而喻。

　　4月7日，由北京網(wǎng)絡(luò)安全大會(huì)(BCS)主辦、中國(guó)信通院云大所作為合作單位的RSAC主題分享萬(wàn)人峰會(huì)DevSecOps論壇在線上召開(kāi)。本次論壇邀請(qǐng)到了信通院云大所所長(zhǎng)何寶宏、信通院云大所云計(jì)算部運(yùn)維業(yè)務(wù)主管牛曉玲、懸鏡CEO子芽、中國(guó)平安財(cái)產(chǎn)保險(xiǎn)有限公司信息安全負(fù)責(zé)人蔡嘉勇博士、上海市信息網(wǎng)絡(luò)安全管理協(xié)會(huì)專家信息安全負(fù)責(zé)人趙銳、奇安信網(wǎng)絡(luò)安全部產(chǎn)品安全負(fù)責(zé)人武鑫等業(yè)內(nèi)知名專家，圍繞政策標(biāo)準(zhǔn)、技術(shù)發(fā)展、體系建設(shè)和產(chǎn)品落地等方面，分享了最新研究成果，奇安信代碼安全事業(yè)部總經(jīng)理黃永剛擔(dān)任主持人。

　　“軟件已成為新一代信息技術(shù)的核心與靈魂，隨著新技術(shù)應(yīng)用日趨成熟，軟件研發(fā)模式發(fā)生巨變，DevOps 快速興起，緊隨“安全左移”的趨勢(shì)，DevSecOps 儼然成為企業(yè)數(shù)字化轉(zhuǎn)型過(guò)程中應(yīng)用安全的基礎(chǔ)保障。”何寶宏在致辭中表示，他認(rèn)為DevSecOps的重要性主要體現(xiàn)在國(guó)家層面高度重視安全保障體系建設(shè)、開(kāi)源助力DevSecOps落地實(shí)踐以及自動(dòng)化和AI等新技術(shù)為企業(yè)創(chuàng)新發(fā)展提供動(dòng)能三個(gè)方面。

　　圖：信通院云大所所長(zhǎng)何寶宏

　　當(dāng)然，任何新興事物的發(fā)展成長(zhǎng)離不開(kāi)標(biāo)準(zhǔn)化的規(guī)范。中國(guó)信通院聯(lián)合國(guó)內(nèi)互聯(lián)網(wǎng)、通信、金融等行業(yè)機(jī)構(gòu)和社區(qū)的頂級(jí)技術(shù)專家，共同編制《研發(fā)運(yùn)營(yíng)一體化(DevOps)能力成熟度模型》系列標(biāo)準(zhǔn)及國(guó)際標(biāo)準(zhǔn)，對(duì)DevOps全鏈路中開(kāi)發(fā)、交付、運(yùn)營(yíng)等過(guò)程的安全風(fēng)險(xiǎn)控制進(jìn)行了規(guī)范要求。“DevOps標(biāo)準(zhǔn)將從自查、自證、衡量、對(duì)照四個(gè)維度，幫助企業(yè)了解DevOps自身發(fā)展情況，并且相互取長(zhǎng)補(bǔ)短，共同進(jìn)步。”牛曉玲表示。

　　圖：信通院云大所云計(jì)算部運(yùn)維業(yè)務(wù)主管牛曉玲

　　同時(shí)牛曉玲強(qiáng)調(diào)，安全推動(dòng)DevOps全面發(fā)展。根據(jù)Gartner2020年規(guī)劃指南：安全和風(fēng)險(xiǎn)管理，2020年新的或顯著增強(qiáng)的領(lǐng)域包括擁抱DevSecOps以實(shí)現(xiàn)跨基礎(chǔ)設(shè)施的安全標(biāo)準(zhǔn)化和自動(dòng)化，安全應(yīng)該成為流程和自動(dòng)化的一個(gè)組成部分。DevSecOps要求在組織內(nèi)全面建立起安全意識(shí)與安全保障機(jī)制，從小處著手，立足開(kāi)發(fā)生命周期的各個(gè)階段設(shè)置安全檢查點(diǎn)，將安全與質(zhì)量緊密掛鉤，借以加強(qiáng)軟件開(kāi)發(fā)過(guò)程中的安全性。

　　子芽則認(rèn)為，從RSAC 2017年第一次設(shè)立DevSecOps day至今，DevSecOps體系日趨成熟，其核心理念強(qiáng)調(diào)安全是整個(gè)IT團(tuán)隊(duì)(包括開(kāi)發(fā)、測(cè)試、運(yùn)營(yíng)及安全團(tuán)隊(duì))所有成員的責(zé)任，需要貫穿整個(gè)業(yè)務(wù)生命周期的每一個(gè)環(huán)節(jié)，這與今年RSAC大會(huì)的的主題“Human Element”相符。想要真正落地實(shí)踐DevSecOps，需要在企業(yè)文化方面達(dá)成協(xié)作共識(shí)，每一個(gè)人皆為安全負(fù)責(zé);在技術(shù)上實(shí)現(xiàn)持續(xù)自動(dòng)化，不僅可以在需求設(shè)計(jì)階段實(shí)現(xiàn)威脅建模，在開(kāi)發(fā)測(cè)試階段威脅發(fā)現(xiàn)，還應(yīng)支持Jenkins等CI/CD管道，支撐DevOps敏捷開(kāi)發(fā)和快速部署;在流程方面實(shí)現(xiàn)柔和低入侵，即相關(guān)技術(shù)的實(shí)施要盡可能保持原有的業(yè)務(wù)流程，并且做到對(duì)政企用戶的透明自動(dòng)化。

　　圖：懸鏡CEO子芽

　　在企業(yè)數(shù)字化經(jīng)濟(jì)轉(zhuǎn)型中，各類應(yīng)用系統(tǒng)起到了決定性作用，有數(shù)據(jù)顯示，95%的業(yè)務(wù)漏洞與企業(yè)應(yīng)用程序相關(guān)。“根據(jù)Gartner2018報(bào)告，由于開(kāi)發(fā)過(guò)程缺乏安全設(shè)計(jì)，編碼漏洞及引入的第三方組件，整體引入了89%的安全漏洞，可謂是應(yīng)用安全的根源。”蔡嘉勇在介紹SDLC(軟件開(kāi)發(fā)生命周期)中的信息安全建設(shè)時(shí)表示，并且隨著敏捷開(kāi)發(fā)的普及，讓原本就困難重重的安全管理更加難以落地。因此想要做好安全開(kāi)發(fā)與運(yùn)維，需要實(shí)現(xiàn)安全需求設(shè)計(jì)與架構(gòu)、實(shí)施驗(yàn)證、響應(yīng)與統(tǒng)計(jì)、培訓(xùn)與匯報(bào)四個(gè)環(huán)節(jié)自動(dòng)化閉環(huán)關(guān)聯(lián)。

　　圖：中國(guó)平安財(cái)產(chǎn)保險(xiǎn)有限公司信息安全負(fù)責(zé)人蔡嘉勇博士

　　那么究竟為什么DevSecOps對(duì)于數(shù)字化轉(zhuǎn)型已經(jīng)不可或缺呢?趙銳認(rèn)為主要包括以下幾個(gè)方面的原因：第一，傳統(tǒng)的安全保障工作明顯滯后，并且往往會(huì)增加開(kāi)發(fā)與運(yùn)維的工作，延后業(yè)務(wù)上線時(shí)間，而DevSecOps可以將安全通過(guò)自動(dòng)化方式融入到開(kāi)發(fā)與運(yùn)維的過(guò)程中，大幅提升效率;第二，隨著網(wǎng)絡(luò)安全的監(jiān)管越來(lái)越嚴(yán)格，DevSecOps可以幫助政企機(jī)構(gòu)更好地滿足合規(guī)要求;第三，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)加劇，使得企業(yè)開(kāi)始考慮采用DevSecOps來(lái)規(guī)避相應(yīng)的事件風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)。

　　趙銳表示，實(shí)踐DevSecOps應(yīng)從安全編碼規(guī)范、安全測(cè)試要求和安全衡量指標(biāo)三個(gè)維度出發(fā)，確保開(kāi)發(fā)環(huán)境、開(kāi)發(fā)工具和源代碼編寫的安全性，通過(guò)單元測(cè)試、集成測(cè)試和性能測(cè)試等方式進(jìn)行“查漏補(bǔ)缺”，在應(yīng)用上線之后還要開(kāi)展持續(xù)的安全運(yùn)營(yíng)，直至應(yīng)用下線后進(jìn)行數(shù)據(jù)和資源的回收。

　　圖：上海市信息網(wǎng)絡(luò)安全管理協(xié)會(huì)專家信息安全負(fù)責(zé)人趙銳

　　從在傳統(tǒng)的瀑布式開(kāi)發(fā)中加入安全測(cè)試進(jìn)行安全質(zhì)量把關(guān)，到敏捷開(kāi)發(fā)中開(kāi)源組件安全檢測(cè)、源代碼靜態(tài)掃描、自動(dòng)化安全測(cè)試及其他安全活動(dòng)的左移推進(jìn)，遇到的諸多落地難點(diǎn)與共性問(wèn)題。在不久前結(jié)束的RSAC2020上，不少企業(yè)都帶來(lái)了他們的解決思路。作為國(guó)內(nèi)網(wǎng)絡(luò)安全領(lǐng)軍企業(yè)，奇安信在DevSecOps上有著自己獨(dú)特的思考。

　　武鑫在演講時(shí)表示，DevSecOps的建設(shè)需要考慮研發(fā)流程、安全工具鏈、所有相關(guān)人員的融合，在DevOps的基礎(chǔ)上加入安全工具鏈，將安全職責(zé)賦予到軟件研發(fā)流程中的每一個(gè)崗位。在工具鏈方面安全測(cè)試通常是大家都在做的，但也往往成為影響業(yè)務(wù)快速上線的環(huán)節(jié)，引入IAST工具提升人效，加入SAST、SCA等技術(shù)將安全左移，加強(qiáng)線上的運(yùn)營(yíng)能力右移安全，層層發(fā)現(xiàn)、消除、反饋安全風(fēng)險(xiǎn)，全流程形成快速運(yùn)行的閉環(huán) ，并持續(xù)優(yōu)化形成符合企業(yè)自身的最佳實(shí)踐。

　　圖：奇安信網(wǎng)絡(luò)安全部產(chǎn)品安全負(fù)責(zé)人武鑫

　　本次萬(wàn)人云峰會(huì)由北京網(wǎng)絡(luò)安全大會(huì)(BCS)主辦。通過(guò)1場(chǎng)萬(wàn)人云峰會(huì)、1場(chǎng)技術(shù)峰會(huì)暨3場(chǎng)技術(shù)分論壇，中國(guó)、美國(guó)、以色列、日本等多國(guó)網(wǎng)絡(luò)安全專家學(xué)者、行業(yè)領(lǐng)袖、技術(shù)專家、業(yè)界人士一萬(wàn)余人，跨越全球17個(gè)時(shí)區(qū)同步出席會(huì)議，為全球網(wǎng)絡(luò)安全發(fā)展探尋新機(jī)遇。DevSecOps論壇作為三場(chǎng)技術(shù)分論壇之一，在此之前安全意識(shí)論壇、安全創(chuàng)客匯云論壇已于藍(lán)信平臺(tái)召開(kāi)。另?yè)?jù)了解，舉辦方也曾在此次萬(wàn)人云峰會(huì)上正式宣布，國(guó)內(nèi)頂級(jí)的網(wǎng)絡(luò)安全峰會(huì)——北京網(wǎng)絡(luò)安全大會(huì)(BCS 2020)將于今年8月25日在北京召開(kāi)，目前正面向全球征集議題。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。