企業動態

一段代碼便可虧損數億美元？

2012年，騎士資本的工程師僅僅因為服務器升級出現紕漏，導致了騎士資本在不到一個小時的交易時間裏損失了4.6億美元。並且有統計表明，程序員平均每寫1000行代碼就出現一個缺陷，而可以被攻擊者利用的缺陷，就成為了漏洞。

而隨着近些年數字化轉型的持續深入，無論是開發人員的疏漏還是漏洞，都將會對實際的生產生活造成巨大的影響，軟硬件安全開發與運維的重要性不言而喻。

4月7日，由北京網絡安全大會（BCS）主辦、中國信通院雲大所作為合作單位的RSAC主題分享萬人峯會DevSecOps論壇在線上召開由北京網絡安全大會（BCS）主辦、中國信通院雲大所作為合作單位的RSAC主題分享萬人峯會DevSecOps論壇在線上召開。

本次論壇邀請到了信通院雲大所所長何寶宏、信通院雲大所云計算部運維業務主管牛曉玲、懸鏡CEO子芽、中國平安財產保險有限公司信息安全負責人蔡嘉勇博士、上海市信息網絡安全管理協會專家信息安全負責人趙鋭、奇安信網絡安全部產品安全負責人武鑫等業內知名專家，圍繞政策標準、技術發展、體系建設和產品落地等方面，分享了最新研究成果，奇安信代碼安全事業部總經理黃永剛擔任主持人。

“軟件已成為新一代信息技術的核心與靈魂，隨着新技術應用日趨成熟，軟件研發模式發生鉅變，DevOps 快速興起，緊隨“安全左移”的趨勢，DevSecOps 儼然成為企業數字化轉型過程中應用安全的基礎保障。”

何寶宏在致辭中表示，他認為DevSecOps的重要性主要體現在國家層面高度重視安全保障體系建設、開源助力DevSecOps落地實踐以及自動化和AI等新技術為企業創新發展提供動能三個方面。

圖 信通院雲大所所長何寶宏

當然，任何新興事物的發展成長離不開標準化的規範。中國信通院聯合國內互聯網、通信、金融等行業機構和社區的頂級技術專家，共同編制《研發運營一體化（DevOps）能力成熟度模型》系列標準及國際標準，對DevOps全鏈路中開發、交付、運營等過程的安全風險控制進行了規範要求。

“DevOps標準將從自查、自證、衡量、對照四個維度，幫助企業瞭解DevOps自身發展情況，並且相互取長補短，共同進步。”牛曉玲表示。

圖 信通院雲大所云計算部運維業務主管牛曉玲

同時牛曉玲強調，安全推動DevOps全面發展。根據Gartner2020年規劃指南：安全和風險管理，2020年新的或顯著增強的領域包括擁抱DevSecOps以實現跨基礎設施的安全標準化和自動化，安全應該成為流程和自動化的一個組成部分。

DevSecOps要求在組織內全面建立起安全意識與安全保障機制，從小處着手，立足開發生命週期的各個階段設置安全檢查點，將安全與質量緊密掛鈎，藉以加強軟件開發過程中的安全性。

子芽則認為，從RSAC 2017年第一次設立DevSecOps day至今，DevSecOps體系日趨成熟，其核心理念強調安全是整個IT團隊（包括開發、測試、運營及安全團隊）所有成員的責任，需要貫穿整個業務生命週期的每一個環節，這與今年RSAC大會的的主題“Human Element”相符。

想要真正落地實踐DevSecOps，需要在企業文化方面達成協作共識，每一個人皆為安全負責；在技術上實現持續自動化，不僅可以在需求設計階段實現威脅建模，在開發測試階段威脅發現，還應支持Jenkins等CI/CD管道，支撐DevOps敏捷開發和快速部署；在流程方面實現柔和低入侵，即相關技術的實施要儘可能保持原有的業務流程，並且做到對政企用户的透明自動化。

圖 懸鏡CEO子芽

在企業數字化經濟轉型中，各類應用系統起到了決定性作用，有數據顯示，95%的業務漏洞與企業應用程序相關。“根據Gartner2018報告，由於開發過程缺乏安全設計，編碼漏洞及引入的第三方組件，整體引入了89%的安全漏洞，可謂是應用安全的根源。”

蔡嘉勇在介紹SDLC（軟件開發生命週期）中的信息安全建設時表示，並且隨着敏捷開發的普及，讓原本就困難重重的安全管理更加難以落地。因此想要做好安全開發與運維，需要實現安全需求設計與架構、實施驗證、響應與統計、培訓與彙報四個環節自動化閉環關聯。

圖 中國平安財產保險有限公司信息安全負責人蔡嘉勇博士

那麼究竟為什麼DevSecOps對於數字化轉型已經不可或缺呢？趙鋭認為主要包括以下幾個方面的原因：

第一，傳統的安全保障工作明顯滯後，並且往往會增加開發與運維的工作，延後業務上線時間，而DevSecOps可以將安全通過自動化方式融入到開發與運維的過程中，大幅提升效率；

第二，隨着網絡安全的監管越來越嚴格，DevSecOps可以幫助政企機構更好地滿足合規要求；

第三，網絡安全風險加劇，使得企業開始考慮採用DevSecOps來規避相應的事件風險和法律風險。

趙鋭表示，實踐DevSecOps應從安全編碼規範、安全測試要求和安全衡量指標三個維度出發，確保開發環境、開發工具和源代碼編寫的安全性，通過單元測試、集成測試和性能測試等方式進行“查漏補缺”，在應用上線之後還要開展持續的安全運營，直至應用下線後進行數據和資源的回收。

圖 上海市信息網絡安全管理協會專家信息安全負責人趙鋭

從在傳統的瀑布式開發中加入安全測試進行安全質量把關，到敏捷開發中開源組件安全檢測、源代碼靜態掃描、自動化安全測試及其他安全活動的左移推進，遇到的諸多落地難點與共性問題。在不久前結束的RSAC2020上，不少企業都帶來了他們的解決思路。

作為國內網絡安全領軍企業，奇安信在DevSecOps上有着自己獨特的思考。武鑫在演講時表示，DevSecOps的建設需要考慮研發流程、安全工具鏈、所有相關人員的融合，在DevOps的基礎上加入安全工具鏈，將安全職責賦予到軟件研發流程中的每一個崗位。

在工具鏈方面安全測試通常是大家都在做的，但也往往成為影響業務快速上線的環節，引入IAST工具提升人效，加入SAST、SCA等技術將安全左移，加強線上的運營能力右移安全，層層發現、消除、反饋安全風險，全流程形成快速運行的閉環 ，並持續優化形成符合企業自身的最佳實踐。

圖 奇安信網絡安全部產品安全負責人武鑫

本次萬人雲峯會由北京網絡安全大會（BCS）主辦。通過1場萬人雲峯會、1場技術峯會暨3場技術分論壇，中國、美國、以色列、日本等多國網絡安全專家學者、行業領袖、技術專家、業界人士一萬餘人，跨越全球17個時區同步出席會議，為全球網絡安全發展探尋新機遇。

DevSecOps論壇作為三場技術分論壇之一，在此之前安全意識論壇、安全創客匯雲論壇已於藍信平台召開。

另外，舉辦方也曾在此次萬人雲峯會上正式宣佈，國內頂級的網絡安全峯會——北京網絡安全大會（BCS 2020）將於今年8月25日在北京召開，目前正面向全球徵集議題。