站長資訊網一段代碼便可虧損數億美元?2012年,騎士資本的工程師僅僅因為服務器升級出現紕漏,導致了騎士資本在不到一個小時的交易時間里損失了4.6億美元。并且有統計表明,程序員平均每寫1000行代碼就出現一個缺陷,而可以被攻擊者利用的缺陷,就成為了漏洞。而隨著近些年數字化轉型的持續深入,無論是開發人員的疏漏還是漏洞,都將會對實際的生產生活造成巨大的影響,軟硬件安全開發與運維的重要性不言而喻。
4月7日,由北京網絡安全大會(BCS)主辦、中國信通院云大所作為合作單位的RSAC主題分享萬人峰會DevSecOps論壇在線上召開。本次論壇邀請到了信通院云大所所長何寶宏、信通院云大所云計算部運維業務主管牛曉玲、懸鏡CEO子芽、中國平安財產保險有限公司信息安全負責人蔡嘉勇博士、上海市信息網絡安全管理協會專家信息安全負責人趙銳、奇安信網絡安全部產品安全負責人武鑫等業內知名專家,圍繞政策標準、技術發展、體系建設和產品落地等方面,分享了最新研究成果,奇安信代碼安全事業部總經理黃永剛擔任主持人。
“軟件已成為新一代信息技術的核心與靈魂,隨著新技術應用日趨成熟,軟件研發模式發生巨變,DevOps 快速興起,緊隨“安全左移”的趨勢,DevSecOps 儼然成為企業數字化轉型過程中應用安全的基礎保障。”何寶宏在致辭中表示,他認為DevSecOps的重要性主要體現在國家層面高度重視安全保障體系建設、開源助力DevSecOps落地實踐以及自動化和AI等新技術為企業創新發展提供動能三個方面。
圖:信通院云大所所長何寶宏
當然,任何新興事物的發展成長離不開標準化的規范。中國信通院聯合國內互聯網、通信、金融等行業機構和社區的頂級技術專家,共同編制《研發運營一體化(DevOps)能力成熟度模型》系列標準及國際標準,對DevOps全鏈路中開發、交付、運營等過程的安全風險控制進行了規范要求。“DevOps標準將從自查、自證、衡量、對照四個維度,幫助企業了解DevOps自身發展情況,并且相互取長補短,共同進步。”牛曉玲表示。
圖:信通院云大所云計算部運維業務主管牛曉玲
同時牛曉玲強調,安全推動DevOps全面發展。根據Gartner2020年規劃指南:安全和風險管理,2020年新的或顯著增強的領域包括擁抱DevSecOps以實現跨基礎設施的安全標準化和自動化,安全應該成為流程和自動化的一個組成部分。DevSecOps要求在組織內全面建立起安全意識與安全保障機制,從小處著手,立足開發生命周期的各個階段設置安全檢查點,將安全與質量緊密掛鉤,借以加強軟件開發過程中的安全性。
子芽則認為,從RSAC 2017年第一次設立DevSecOps day至今,DevSecOps體系日趨成熟,其核心理念強調安全是整個IT團隊(包括開發、測試、運營及安全團隊)所有成員的責任,需要貫穿整個業務生命周期的每一個環節,這與今年RSAC大會的的主題“Human Element”相符。想要真正落地實踐DevSecOps,需要在企業文化方面達成協作共識,每一個人皆為安全負責;在技術上實現持續自動化,不僅可以在需求設計階段實現威脅建模,在開發測試階段威脅發現,還應支持Jenkins等CI/CD管道,支撐DevOps敏捷開發和快速部署;在流程方面實現柔和低入侵,即相關技術的實施要盡可能保持原有的業務流程,并且做到對政企用戶的透明自動化。
圖:懸鏡CEO子芽
在企業數字化經濟轉型中,各類應用系統起到了決定性作用,有數據顯示,95%的業務漏洞與企業應用程序相關。“根據Gartner2018報告,由于開發過程缺乏安全設計,編碼漏洞及引入的第三方組件,整體引入了89%的安全漏洞,可謂是應用安全的根源。”蔡嘉勇在介紹SDLC(軟件開發生命周期)中的信息安全建設時表示,并且隨著敏捷開發的普及,讓原本就困難重重的安全管理更加難以落地。因此想要做好安全開發與運維,需要實現安全需求設計與架構、實施驗證、響應與統計、培訓與匯報四個環節自動化閉環關聯。
圖:中國平安財產保險有限公司信息安全負責人蔡嘉勇博士
那么究竟為什么DevSecOps對于數字化轉型已經不可或缺呢?趙銳認為主要包括以下幾個方面的原因:第一,傳統的安全保障工作明顯滯后,并且往往會增加開發與運維的工作,延后業務上線時間,而DevSecOps可以將安全通過自動化方式融入到開發與運維的過程中,大幅提升效率;第二,隨著網絡安全的監管越來越嚴格,DevSecOps可以幫助政企機構更好地滿足合規要求;第三,網絡安全風險加劇,使得企業開始考慮采用DevSecOps來規避相應的事件風險和法律風險。
趙銳表示,實踐DevSecOps應從安全編碼規范、安全測試要求和安全衡量指標三個維度出發,確保開發環境、開發工具和源代碼編寫的安全性,通過單元測試、集成測試和性能測試等方式進行“查漏補缺”,在應用上線之后還要開展持續的安全運營,直至應用下線后進行數據和資源的回收。
圖:上海市信息網絡安全管理協會專家信息安全負責人趙銳
從在傳統的瀑布式開發中加入安全測試進行安全質量把關,到敏捷開發中開源組件安全檢測、源代碼靜態掃描、自動化安全測試及其他安全活動的左移推進,遇到的諸多落地難點與共性問題。在不久前結束的RSAC2020上,不少企業都帶來了他們的解決思路。作為國內網絡安全領軍企業,奇安信在DevSecOps上有著自己獨特的思考。
武鑫在演講時表示,DevSecOps的建設需要考慮研發流程、安全工具鏈、所有相關人員的融合,在DevOps的基礎上加入安全工具鏈,將安全職責賦予到軟件研發流程中的每一個崗位。在工具鏈方面安全測試通常是大家都在做的,但也往往成為影響業務快速上線的環節,引入IAST工具提升人效,加入SAST、SCA等技術將安全左移,加強線上的運營能力右移安全,層層發現、消除、反饋安全風險,全流程形成快速運行的閉環 ,并持續優化形成符合企業自身的最佳實踐。
圖:奇安信網絡安全部產品安全負責人武鑫
本次萬人云峰會由北京網絡安全大會(BCS)主辦。通過1場萬人云峰會、1場技術峰會暨3場技術分論壇,中國、美國、以色列、日本等多國網絡安全專家學者、行業領袖、技術專家、業界人士一萬余人,跨越全球17個時區同步出席會議,為全球網絡安全發展探尋新機遇。DevSecOps論壇作為三場技術分論壇之一,在此之前安全意識論壇、安全創客匯云論壇已于藍信平臺召開。另據了解,舉辦方也曾在此次萬人云峰會上正式宣布,國內頂級的網絡安全峰會——北京網絡安全大會(BCS 2020)將于今年8月25日在北京召開,目前正面向全球征集議題。
特別提醒:本網內容轉載自其他媒體,目的在于傳遞更多信息,并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益,請及時聯系我們,本站將會在24小時內處理完畢。
