DevSecOps構(gòu)建原因和構(gòu)建重點(diǎn)

1. 為何需要建立DevSecOps？

1.1應(yīng)用軟件安全風(fēng)險(xiǎn)的影響
面對(duì)當(dāng)前萬物智能互聯(lián)、數(shù)字經(jīng)濟(jì)高速發(fā)展的大環(huán)境下，應(yīng)用軟件安全對(duì)于推動(dòng)我國數(shù)字經(jīng)濟(jì)發(fā)展、維護(hù)社會(huì)穩(wěn)定及國家安全都將起著至關(guān)重要的地位和作用。據(jù)Gartner報(bào)告顯示：超過 80% 的網(wǎng)絡(luò)***都發(fā)生在應(yīng)用層，所披露的漏洞70%以上與應(yīng)用安全有關(guān)，特別是SQL注入、XSS、CSRF、目錄遍歷等漏洞，所以應(yīng)用安全將是安全保障的重中之重。

1.2安全需要前置
當(dāng)前以云計(jì)算、大數(shù)據(jù)及人工智能等為核心技術(shù)，構(gòu)建了萬物互聯(lián)的數(shù)字智能世界，消除了原有傳統(tǒng)網(wǎng)絡(luò)和應(yīng)用的邊界，讓原本邊界安全防護(hù)理念付諸東流，給安全帶來了極大的挑戰(zhàn)。
在萬物互聯(lián)背景下，我們要從“有病治病”向“增強(qiáng)體質(zhì)”的思維轉(zhuǎn)變，要圍繞以“業(yè)務(wù)和數(shù)據(jù)為核心”,以“在萬物互聯(lián)時(shí)代下，不僅需要更多的安全軟件，而且需要更安全的軟件”為安全理念，將安全工作前置在開發(fā)、測(cè)試等各個(gè)環(huán)節(jié)，達(dá)到“安全即代碼、治標(biāo)亦治本”的安全目標(biāo)。如未能在上線前和生產(chǎn)過程中進(jìn)行持續(xù)測(cè)試并且修復(fù)安全問題，就無法確保應(yīng)用上線及投產(chǎn)后其持續(xù)改進(jìn)的安全性。安全前置，不僅大大提升應(yīng)用軟件的安全能力，而且可在最早階段、用最低成本解決最大比例的安全風(fēng)險(xiǎn)，所以安全前置是萬物互聯(lián)環(huán)境下的核心創(chuàng)新安全理念和最佳安全賦能措施。

1.3新技術(shù)新應(yīng)用所帶來的新風(fēng)險(xiǎn)
萬物互聯(lián)的數(shù)字智能世界，推動(dòng)著全球數(shù)字經(jīng)濟(jì)的高速發(fā)展，面對(duì)于云上應(yīng)用、大數(shù)據(jù)應(yīng)用、產(chǎn)業(yè)互聯(lián)網(wǎng)以及物聯(lián)網(wǎng)智能應(yīng)用軟件，消除了原有網(wǎng)絡(luò)和應(yīng)用的安全邊界，當(dāng)前主流檢測(cè)與防護(hù)技術(shù)都難以滿足萬物互聯(lián)背景下的安全賦能，特別針對(duì)當(dāng)前容器應(yīng)用、API、微服務(wù)等新應(yīng)用架構(gòu)和應(yīng)用加密、防重放、帶驗(yàn)簽等新應(yīng)用場(chǎng)景下的安全賦能。
我們以“萬物互聯(lián)時(shí)代，不僅需要更多的安全軟件，而且需要更安全的軟件”為安全核心思想，讓安全貫穿開發(fā)至運(yùn)營的各個(gè)環(huán)節(jié)。利用AI和自動(dòng)化等新技術(shù)實(shí)現(xiàn)安全新賦能，將安全與軟件高度耦合的交互式應(yīng)用安全檢測(cè)與防護(hù)技術(shù)，讓安全與業(yè)務(wù)高耦合、相同步、相適應(yīng)，不僅為用戶提供更安全的軟件，同時(shí)也滿足在萬物互聯(lián)環(huán)境對(duì)應(yīng)用軟件的安全防護(hù)。

1.4運(yùn)行防護(hù)也是重要組成部分
既不能陷入“將安全漏洞的數(shù)量降為零”的錯(cuò)誤追求中，安全開發(fā)、測(cè)試的負(fù)擔(dān)識(shí)別加重，且很可能成為業(yè)務(wù)發(fā)展的一個(gè)障礙；所以持續(xù)的風(fēng)險(xiǎn)和信任評(píng)估以及對(duì)應(yīng)用程序漏洞要進(jìn)行優(yōu)先級(jí)排序，可以通過使用運(yùn)行時(shí)保護(hù)控制來補(bǔ)償已知較低風(fēng)險(xiǎn)的脆弱性或未知脆弱性的剩余風(fēng)險(xiǎn)。

1. 構(gòu)建DevSecOps工作的重點(diǎn)和難點(diǎn)

DevSecOps安全解決方案，以“萬物互聯(lián)時(shí)代，不僅需要更多的安全軟件，而且需要更安全的軟件”為核心安全理念，讓安全貫穿整個(gè)業(yè)務(wù)生命周期的各個(gè)環(huán)節(jié)，包括技術(shù)開發(fā)、測(cè)試、發(fā)布、上線、部署及運(yùn)營等各個(gè)階段。從而構(gòu)建新一代安全、高效、合規(guī)的全生命周期應(yīng)用安全運(yùn)營體系，從安全供給側(cè)為“數(shù)字經(jīng)濟(jì)”保駕護(hù)航。

2.1組織文化和思維方式的轉(zhuǎn)變
n 安全前置
DevSecOps安全解決方案以基于“萬物互聯(lián)時(shí)代，不僅需要更多的安全軟件，而且需要更安全的軟件”為核心安全理念；需要將安全工作前置在開發(fā)、測(cè)試等的各個(gè)環(huán)節(jié)，實(shí)現(xiàn)產(chǎn)業(yè)互聯(lián)背景下的安全賦能。

n 安全人人有責(zé)
讓開發(fā)、安全、運(yùn)維共同擁抱DevSecOps理念與文化，需要改變過去只有安全人員對(duì)安全負(fù)責(zé)的態(tài)度和觀念，不能讓僅極少數(shù)的安全人員，被視為是對(duì)項(xiàng)目推進(jìn)的阻礙、內(nèi)部生產(chǎn)效率的破壞，必須能讓開發(fā)、運(yùn)維和安全都應(yīng)該對(duì)安全負(fù)責(zé)，協(xié)同工作、共同擔(dān)當(dāng)。
n 安全服務(wù)經(jīng)營

安全目標(biāo)是應(yīng)用系統(tǒng)的安全風(fēng)險(xiǎn)降低到用戶可接受的程度并滿足合規(guī)性的要求；如果沒有監(jiān)管方面的缺陷，那么可以接受多少風(fēng)險(xiǎn)并不取決于信息安全，而是由業(yè)務(wù)應(yīng)用所有者最終做出的商業(yè)決策。

n 安全全生命周期
以基于“萬物互聯(lián)時(shí)代，不僅需要更多的安全軟件，而且需要更安全的軟件”為核心安全理念和安全服務(wù)經(jīng)營的宗旨。從而構(gòu)建基于應(yīng)用的全生命周期安全運(yùn)營體系，讓安全貫穿整個(gè)業(yè)務(wù)生命周期（從開發(fā)到運(yùn)營）的各個(gè)環(huán)節(jié)，包括技術(shù)開發(fā)、測(cè)試、上線及運(yùn)營等各個(gè)階段的安全賦能。從而構(gòu)建新一代安全、高效、合規(guī)的全生命周期應(yīng)用安全運(yùn)營體系，從安全供給側(cè)為“數(shù)字經(jīng)濟(jì)”保駕護(hù)航。

2.2安全集成流程自動(dòng)化
信息安全要為企事業(yè)單位的經(jīng)營和發(fā)展服務(wù)，業(yè)務(wù)發(fā)展和工作效率是企業(yè)發(fā)展的關(guān)鍵要素與核心競(jìng)爭(zhēng)力，信息安全工作必須適應(yīng)開發(fā)至運(yùn)營各個(gè)環(huán)節(jié)的工具及流程，不能因信息安全工作讓開發(fā)、運(yùn)維工作者離開他們熟悉的工具鏈環(huán)境，讓工作流程變復(fù)雜、工作效率更低，而是要讓IT工作者時(shí)間更有商業(yè)價(jià)值。DevSecOps是將安全通過AI和自動(dòng)化檢測(cè)技術(shù)高效、透明地融入開發(fā)至運(yùn)營的各個(gè)環(huán)節(jié)，集成到開發(fā)者的開發(fā)環(huán)境（IDE）和CI/CD工具鏈的工具中，不改變?cè)械墓ぷ鳝h(huán)境和生態(tài)鏈，從而構(gòu)建便捷、高效、安全及合規(guī)的應(yīng)用安全能力。

2.3利用新技術(shù)賦能新安全
利用新技術(shù)推動(dòng)安全來貫穿整個(gè)業(yè)務(wù)全生命周期的各個(gè)環(huán)節(jié)，滿足云上應(yīng)用、大數(shù)據(jù)應(yīng)用、工業(yè)互聯(lián)網(wǎng)等新技術(shù)應(yīng)用架構(gòu)下的安全賦能，從而更加有效保障其方案實(shí)施的便捷性、安全性和合規(guī)性。同時(shí)，應(yīng)更好適應(yīng)現(xiàn)有容器、微服務(wù)等云原生技術(shù)的新應(yīng)用架構(gòu)和識(shí)別開源軟件、第三方代碼庫及敏感信息泄漏等安全風(fēng)險(xiǎn)的能力。
如交互式應(yīng)用安全測(cè)試系統(tǒng)-IAST，利用運(yùn)行時(shí)非執(zhí)行態(tài)的核心安全檢測(cè)技術(shù)，通過功能操作即可自動(dòng)化輸出安全結(jié)果，精確定位易受***的代碼行并提供了詳細(xì)的上下文修復(fù)示例，幫助開發(fā)團(tuán)隊(duì)可以快速修復(fù)漏洞。可完全解決當(dāng)前漏洞掃描系統(tǒng)存在較高誤報(bào)率；人工***測(cè)試受技術(shù)專業(yè)能力的局限，而且費(fèi)時(shí)費(fèi)力，無法滿足產(chǎn)品快速迭代的需求；也完全滿足當(dāng)前容器應(yīng)用、API、微服務(wù)等新應(yīng)用架構(gòu)和應(yīng)用加密、防重放、帶驗(yàn)簽等新應(yīng)用場(chǎng)景下的安全風(fēng)險(xiǎn)。

通過自適應(yīng)應(yīng)用安全架構(gòu)和智能檢測(cè)算法，可實(shí)現(xiàn)執(zhí)行類0 day應(yīng)用漏洞的實(shí)時(shí)檢測(cè)與防護(hù)，達(dá)到運(yùn)行時(shí)"自我保護(hù)"的安全能力；同時(shí)可對(duì)敏感信息、運(yùn)行環(huán)境及三方組件進(jìn)行實(shí)時(shí)安全檢測(cè)和分析；完全適用云上應(yīng)用、大數(shù)據(jù)技術(shù)應(yīng)用和物聯(lián)網(wǎng)智能互聯(lián)等應(yīng)用平臺(tái)的安全檢測(cè)和防護(hù)。