一段代碼便可虧損數(shù)億美元?2012年，騎士資本的工程師僅僅因為服務(wù)器升級出現(xiàn)紕漏，導(dǎo)致了騎士資本在不到一個小時的交易時間里損失了4.6億美元。并且有統(tǒng)計表明，程序員平均每寫1000行代碼就出現(xiàn)一個缺陷，而可以被攻擊者利用的缺陷，就成為了漏洞。而隨著近些年數(shù)字化轉(zhuǎn)型的持續(xù)深入，無論是開發(fā)人員的疏漏還是漏洞，都將會對實際的生產(chǎn)生活造成巨大的影響，軟硬件安全開發(fā)與運維的重要性不言而喻。

　　4月7日，由北京網(wǎng)絡(luò)安全大會(BCS)主辦、中國信通院云大所作為合作單位的RSAC主題分享萬人峰會DevSecOps論壇在線上召開。本次論壇邀請到了信通院云大所所長何寶宏、信通院云大所云計算部運維業(yè)務(wù)主管牛曉玲、懸鏡CEO子芽、中國平安財產(chǎn)保險有限公司信息安全負責(zé)人蔡嘉勇博士、上海市信息網(wǎng)絡(luò)安全管理協(xié)會專家信息安全負責(zé)人趙銳、奇安信網(wǎng)絡(luò)安全部產(chǎn)品安全負責(zé)人武鑫等業(yè)內(nèi)知名專家，圍繞政策標準、技術(shù)發(fā)展、體系建設(shè)和產(chǎn)品落地等方面，分享了最新研究成果，奇安信代碼安全事業(yè)部總經(jīng)理黃永剛擔(dān)任主持人。

　　“軟件已成為新一代信息技術(shù)的核心與靈魂，隨著新技術(shù)應(yīng)用日趨成熟，軟件研發(fā)模式發(fā)生巨變，DevOps 快速興起，緊隨“安全左移”的趨勢，DevSecOps 儼然成為企業(yè)數(shù)字化轉(zhuǎn)型過程中應(yīng)用安全的基礎(chǔ)保障。”何寶宏在致辭中表示，他認為DevSecOps的重要性主要體現(xiàn)在國家層面高度重視安全保障體系建設(shè)、開源助力DevSecOps落地實踐以及自動化和AI等新技術(shù)為企業(yè)創(chuàng)新發(fā)展提供動能三個方面。

　　圖：信通院云大所所長何寶宏

　　當(dāng)然，任何新興事物的發(fā)展成長離不開標準化的規(guī)范。中國信通院聯(lián)合國內(nèi)互聯(lián)網(wǎng)、通信、金融等行業(yè)機構(gòu)和社區(qū)的頂級技術(shù)專家，共同編制《研發(fā)運營一體化(DevOps)能力成熟度模型》系列標準及國際標準，對DevOps全鏈路中開發(fā)、交付、運營等過程的安全風(fēng)險控制進行了規(guī)范要求。“DevOps標準將從自查、自證、衡量、對照四個維度，幫助企業(yè)了解DevOps自身發(fā)展情況，并且相互取長補短，共同進步。”牛曉玲表示。

　　圖：信通院云大所云計算部運維業(yè)務(wù)主管牛曉玲

　　同時牛曉玲強調(diào)，安全推動DevOps全面發(fā)展。根據(jù)Gartner2020年規(guī)劃指南：安全和風(fēng)險管理，2020年新的或顯著增強的領(lǐng)域包括擁抱DevSecOps以實現(xiàn)跨基礎(chǔ)設(shè)施的安全標準化和自動化，安全應(yīng)該成為流程和自動化的一個組成部分。DevSecOps要求在組織內(nèi)全面建立起安全意識與安全保障機制，從小處著手，立足開發(fā)生命周期的各個階段設(shè)置安全檢查點，將安全與質(zhì)量緊密掛鉤，借以加強軟件開發(fā)過程中的安全性。

　　子芽則認為，從RSAC 2017年第一次設(shè)立DevSecOps day至今，DevSecOps體系日趨成熟，其核心理念強調(diào)安全是整個IT團隊(包括開發(fā)、測試、運營及安全團隊)所有成員的責(zé)任，需要貫穿整個業(yè)務(wù)生命周期的每一個環(huán)節(jié)，這與今年RSAC大會的的主題“Human Element”相符。想要真正落地實踐DevSecOps，需要在企業(yè)文化方面達成協(xié)作共識，每一個人皆為安全負責(zé);在技術(shù)上實現(xiàn)持續(xù)自動化，不僅可以在需求設(shè)計階段實現(xiàn)威脅建模，在開發(fā)測試階段威脅發(fā)現(xiàn)，還應(yīng)支持Jenkins等CI/CD管道，支撐DevOps敏捷開發(fā)和快速部署;在流程方面實現(xiàn)柔和低入侵，即相關(guān)技術(shù)的實施要盡可能保持原有的業(yè)務(wù)流程，并且做到對政企用戶的透明自動化。

　　圖：懸鏡CEO子芽

　　在企業(yè)數(shù)字化經(jīng)濟轉(zhuǎn)型中，各類應(yīng)用系統(tǒng)起到了決定性作用，有數(shù)據(jù)顯示，95%的業(yè)務(wù)漏洞與企業(yè)應(yīng)用程序相關(guān)。“根據(jù)Gartner2018報告，由于開發(fā)過程缺乏安全設(shè)計，編碼漏洞及引入的第三方組件，整體引入了89%的安全漏洞，可謂是應(yīng)用安全的根源。”蔡嘉勇在介紹SDLC(軟件開發(fā)生命周期)中的信息安全建設(shè)時表示，并且隨著敏捷開發(fā)的普及，讓原本就困難重重的安全管理更加難以落地。因此想要做好安全開發(fā)與運維，需要實現(xiàn)安全需求設(shè)計與架構(gòu)、實施驗證、響應(yīng)與統(tǒng)計、培訓(xùn)與匯報四個環(huán)節(jié)自動化閉環(huán)關(guān)聯(lián)。

　　圖：中國平安財產(chǎn)保險有限公司信息安全負責(zé)人蔡嘉勇博士

　　那么究竟為什么DevSecOps對于數(shù)字化轉(zhuǎn)型已經(jīng)不可或缺呢?趙銳認為主要包括以下幾個方面的原因：第一，傳統(tǒng)的安全保障工作明顯滯后，并且往往會增加開發(fā)與運維的工作，延后業(yè)務(wù)上線時間，而DevSecOps可以將安全通過自動化方式融入到開發(fā)與運維的過程中，大幅提升效率;第二，隨著網(wǎng)絡(luò)安全的監(jiān)管越來越嚴格，DevSecOps可以幫助政企機構(gòu)更好地滿足合規(guī)要求;第三，網(wǎng)絡(luò)安全風(fēng)險加劇，使得企業(yè)開始考慮采用DevSecOps來規(guī)避相應(yīng)的事件風(fēng)險和法律風(fēng)險。

　　趙銳表示，實踐DevSecOps應(yīng)從安全編碼規(guī)范、安全測試要求和安全衡量指標三個維度出發(fā)，確保開發(fā)環(huán)境、開發(fā)工具和源代碼編寫的安全性，通過單元測試、集成測試和性能測試等方式進行“查漏補缺”，在應(yīng)用上線之后還要開展持續(xù)的安全運營，直至應(yīng)用下線后進行數(shù)據(jù)和資源的回收。

　　圖：上海市信息網(wǎng)絡(luò)安全管理協(xié)會專家信息安全負責(zé)人趙銳

　　從在傳統(tǒng)的瀑布式開發(fā)中加入安全測試進行安全質(zhì)量把關(guān)，到敏捷開發(fā)中開源組件安全檢測、源代碼靜態(tài)掃描、自動化安全測試及其他安全活動的左移推進，遇到的諸多落地難點與共性問題。在不久前結(jié)束的RSAC2020上，不少企業(yè)都帶來了他們的解決思路。作為國內(nèi)網(wǎng)絡(luò)安全領(lǐng)軍企業(yè)，奇安信在DevSecOps上有著自己獨特的思考。

　　武鑫在演講時表示，DevSecOps的建設(shè)需要考慮研發(fā)流程、安全工具鏈、所有相關(guān)人員的融合，在DevOps的基礎(chǔ)上加入安全工具鏈，將安全職責(zé)賦予到軟件研發(fā)流程中的每一個崗位。在工具鏈方面安全測試通常是大家都在做的，但也往往成為影響業(yè)務(wù)快速上線的環(huán)節(jié)，引入IAST工具提升人效，加入SAST、SCA等技術(shù)將安全左移，加強線上的運營能力右移安全，層層發(fā)現(xiàn)、消除、反饋安全風(fēng)險，全流程形成快速運行的閉環(huán) ，并持續(xù)優(yōu)化形成符合企業(yè)自身的最佳實踐。

　　圖：奇安信網(wǎng)絡(luò)安全部產(chǎn)品安全負責(zé)人武鑫

　　本次萬人云峰會由北京網(wǎng)絡(luò)安全大會(BCS)主辦。通過1場萬人云峰會、1場技術(shù)峰會暨3場技術(shù)分論壇，中國、美國、以色列、日本等多國網(wǎng)絡(luò)安全專家學(xué)者、行業(yè)領(lǐng)袖、技術(shù)專家、業(yè)界人士一萬余人，跨越全球17個時區(qū)同步出席會議，為全球網(wǎng)絡(luò)安全發(fā)展探尋新機遇。DevSecOps論壇作為三場技術(shù)分論壇之一，在此之前安全意識論壇、安全創(chuàng)客匯云論壇已于藍信平臺召開。另據(jù)了解，舉辦方也曾在此次萬人云峰會上正式宣布，國內(nèi)頂級的網(wǎng)絡(luò)安全峰會——北京網(wǎng)絡(luò)安全大會(BCS 2020)將于今年8月25日在北京召開，目前正面向全球征集議題。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。