1. 为何需要建立DevSecOps?
1.1应用软件安全风险的影响
面对当前万物智能互联、数字经济高速发展的大环境下,应用软件安全对于推动我国数字经济发展、维护社会稳定及国家安全都将起着至关重要的地位和作用。据Gartner报告显示:超过 80% 的网络攻击都发生在应用层,所披露的漏洞70%以上与应用安全有关,特别是SQL注入、XSS、CSRF、目录遍历等漏洞,所以应用安全将是安全保障的重中之重。
1.2安全需要前置
当前以云计算、大数据及人工智能等为核心技术,构建了万物互联的数字智能世界,消除了原有传统网络和应用的边界,让原本边界安全防护理念付诸东流,给安全带来了极大的挑战。
在万物互联背景下,我们要从“有病治病”向“增强体质”的思维转变,要围绕以“业务和数据为核心”,以“在万物互联时代下,不仅需要更多的安全软件,而且需要更安全的软件”为安全理念,将安全工作前置在开发、测试等各个环节,达到“安全即代码、治标亦治本”的安全目标。如未能在上线前和生产过程中进行持续测试并且修复安全问题,就无法确保应用上线及投产后其持续改进的安全性。安全前置,不仅大大提升应用软件的安全能力,而且可在最早阶段、用最低成本解决最大比例的安全风险,所以安全前置是万物互联环境下的核心创新安全理念和最佳安全赋能措施。
1.3新技术新应用所带来的新风险
万物互联的数字智能世界,推动着全球数字经济的高速发展,面对于云上应用、大数据应用、产业互联网以及物联网智能应用软件,消除了原有网络和应用的安全边界,当前主流检测与防护技术都难以满足万物互联背景下的安全赋能,特别针对当前容器应用、API、微服务等新应用架构和应用加密、防重放、带验签等新应用场景下的安全赋能。
我们以“万物互联时代,不仅需要更多的安全软件,而且需要更安全的软件”为安全核心思想,让安全贯穿开发至运营的各个环节。利用AI和自动化等新技术实现安全新赋能,将安全与软件高度耦合的交互式应用安全检测与防护技术,让安全与业务高耦合、相同步、相适应,不仅为用户提供更安全的软件,同时也满足在万物互联环境对应用软件的安全防护。
1.4运行防护也是重要组成部分
既不能陷入“将安全漏洞的数量降为零”的错误追求中,安全开发、测试的负担识别加重,且很可能成为业务发展的一个障碍;所以持续的风险和信任评估以及对应用程序漏洞要进行优先级排序,可以通过使用运行时保护控制来补偿已知较低风险的脆弱性或未知脆弱性的剩余风险。
2. 构建DevSecOps工作的重点和难点
DevSecOps安全解决方案,以“万物互联时代,不仅需要更多的安全软件,而且需要更安全的软件”为核心安全理念,让安全贯穿整个业务生命周期的各个环节,包括技术开发、测试、发布、上线、部署及运营等各个阶段。从而构建新一代安全、高效、合规的全生命周期应用安全运营体系,从安全供给侧为“数字经济”保驾护航。
2.1组织文化和思维方式的转变
安全前置
DevSecOps安全解决方案以基于“万物互联时代,不仅需要更多的安全软件,而且需要更安全的软件”为核心安全理念;需要将安全工作前置在开发、测试等的各个环节,实现产业互联背景下的安全赋能。
安全人人有责
让开发、安全、运维共同拥抱DevSecOps理念与文化,需要改变过去只有安全人员对安全负责的态度和观念,不能让仅极少数的安全人员,被视为是对项目推进的阻碍、内部生产效率的破坏,必须能让开发、运维和安全都应该对安全负责,协同工作、共同担当。
安全服务经营
安全目标是应用系统的安全风险降低到用户可接受的程度并满足合规性的要求;如果没有监管方面的缺陷,那么可以接受多少风险并不取决于信息安全,而是 由业务应用所有者最终做出的商业决策。
安全全生命周期
以基于“万物互联时代,不仅需要更多的安全软件,而且需要更安全的软件”为核心安全理念和安全服务经营的宗旨。从而构建基于应用的全生命周期安全运营体系,让安全贯穿整个业务生命周期(从开发到运营)的各个环节,包括技术开发、测试、上线及运营等各个阶段的安全赋能。从而构建新一代安全、高效、合规的全生命周期应用安全运营体系,从安全供给侧为“数字经济”保驾护航。
2.2安全集成流程自动化
信息安全要为企事业单位的经营和发展服务,业务发展和工作效率是企业发展的关键要素与核心竞争力,信息安全工作必须适应开发至运营各个环节的工具及流程,不能因信息安全工作让开发、运维工作者离开他们熟悉的工具链环境,让工作流程变复杂、工作效率更低,而是要让IT工作者时间更有商业价值。DevSecOps是将安全通过AI和自动化检测技术高效、透明地融入开发至运营的各个环节,集成到开发者的开发环境(IDE)和CI/CD工具链的工具中,不改变原有的工作环境和生态链,从而构建便捷、高效、安全及合规的应用安全能力。
2.3利用新技术赋能新安全
利用新技术推动安全来贯穿整个业务全生命周期的各个环节,满足云上应用、大数据应用、工业互联网等新技术应用架构下的安全赋能,从而更加有效保障其方案实施的便捷性、安全性和合规性。同时,应更好适应现有容器、微服务等云原生技术的新应用架构和识别开源软件、第三方代码库及敏感信息泄漏等安全风险的能力。
如交互式应用安全测试系统-IAST,利用运行时非执行态的核心安全检测技术,通过功能操作即可自动化输出安全结果,精确定位易受攻击的代码行并提供了详细的上下文修复示例,帮助开发团队可以快速修复漏洞。可完全解决当前漏洞扫描系统存在较高误报率;人工渗透测试受技术专业能力的局限,而且费时费力,无法满足产品快速迭代的需求;也完全满足当前容器应用、API、微服务等新应用架构和应用加密、防重放、带验签等新应用场景下的安全风险。
通过自适应应用安全架构和智能检测算法,可实现执行类0 day应用漏洞的实时检测与防护,达到运行时"自我保护"的安全能力;同时可对敏感信息、运行环境及三方组件进行实时安全检测和分析;完全适用云上应用、大数据技术应用和物联网智能互联等应用平台的安全检测和防护。