萬人雲峯會DevSecOps論壇:數字化浪潮下,安全開發與運維該如何破局?
釋出日期:2020-04-07 作者:奇安信
一段代碼便可虧損數億美元?
2012年,騎士資本的工程師僅僅因為服務器升級出現紕漏,導致了騎士資本在不到一個小時的交易時間裏損失了4.6億美元。並且有統計表明,程序員平均每寫1000行代碼就出現一個缺陷,而可以被攻擊者利用的缺陷,就成為了漏洞。
而隨着近些年數字化轉型的持續深入,無論是開發人員的疏漏還是漏洞,都將會對實際的生產生活造成巨大的影響,軟硬件安全開發與運維的重要性不言而喻。
4月7日,由北京網絡安全大會(BCS)主辦、中國信通院雲大所作為合作單位的RSAC主題分享萬人峯會DevSecOps論壇在線上召開由北京網絡安全大會(BCS)主辦、中國信通院雲大所作為合作單位的RSAC主題分享萬人峯會DevSecOps論壇在線上召開。
本次論壇邀請到了信通院雲大所所長何寶宏、信通院雲大所云計算部運維業務主管牛曉玲、懸鏡CEO子芽、中國平安財產保險有限公司信息安全負責人蔡嘉勇博士、上海市信息網絡安全管理協會專家信息安全負責人趙鋭、奇安信網絡安全部產品安全負責人武鑫等業內知名專家,圍繞政策標準、技術發展、體系建設和產品落地等方面,分享了最新研究成果,奇安信代碼安全事業部總經理黃永剛擔任主持人。
“軟件已成為新一代信息技術的核心與靈魂,隨着新技術應用日趨成熟,軟件研發模式發生鉅變,DevOps 快速興起,緊隨“安全左移”的趨勢,DevSecOps 儼然成為企業數字化轉型過程中應用安全的基礎保障。”
何寶宏在致辭中表示,他認為DevSecOps的重要性主要體現在國家層面高度重視安全保障體系建設、開源助力DevSecOps落地實踐以及自動化和AI等新技術為企業創新發展提供動能三個方面。
圖 信通院雲大所所長何寶宏
當然,任何新興事物的發展成長離不開標準化的規範。中國信通院聯合國內互聯網、通信、金融等行業機構和社區的頂級技術專家,共同編制《研發運營一體化(DevOps)能力成熟度模型》系列標準及國際標準,對DevOps全鏈路中開發、交付、運營等過程的安全風險控制進行了規範要求。
“DevOps標準將從自查、自證、衡量、對照四個維度,幫助企業瞭解DevOps自身發展情況,並且相互取長補短,共同進步。”牛曉玲表示。
圖 信通院雲大所云計算部運維業務主管牛曉玲
同時牛曉玲強調,安全推動DevOps全面發展。根據Gartner2020年規劃指南:安全和風險管理,2020年新的或顯著增強的領域包括擁抱DevSecOps以實現跨基礎設施的安全標準化和自動化,安全應該成為流程和自動化的一個組成部分。
DevSecOps要求在組織內全面建立起安全意識與安全保障機制,從小處着手,立足開發生命週期的各個階段設置安全檢查點,將安全與質量緊密掛鈎,藉以加強軟件開發過程中的安全性。
子芽則認為,從RSAC 2017年第一次設立DevSecOps day至今,DevSecOps體系日趨成熟,其核心理念強調安全是整個IT團隊(包括開發、測試、運營及安全團隊)所有成員的責任,需要貫穿整個業務生命週期的每一個環節,這與今年RSAC大會的的主題“Human Element”相符。
想要真正落地實踐DevSecOps,需要在企業文化方面達成協作共識,每一個人皆為安全負責;在技術上實現持續自動化,不僅可以在需求設計階段實現威脅建模,在開發測試階段威脅發現,還應支持Jenkins等CI/CD管道,支撐DevOps敏捷開發和快速部署;在流程方面實現柔和低入侵,即相關技術的實施要儘可能保持原有的業務流程,並且做到對政企用户的透明自動化。
圖 懸鏡CEO子芽
在企業數字化經濟轉型中,各類應用系統起到了決定性作用,有數據顯示,95%的業務漏洞與企業應用程序相關。“根據Gartner2018報告,由於開發過程缺乏安全設計,編碼漏洞及引入的第三方組件,整體引入了89%的安全漏洞,可謂是應用安全的根源。”
蔡嘉勇在介紹SDLC(軟件開發生命週期)中的信息安全建設時表示,並且隨着敏捷開發的普及,讓原本就困難重重的安全管理更加難以落地。因此想要做好安全開發與運維,需要實現安全需求設計與架構、實施驗證、響應與統計、培訓與彙報四個環節自動化閉環關聯。
圖 中國平安財產保險有限公司信息安全負責人蔡嘉勇博士
那麼究竟為什麼DevSecOps對於數字化轉型已經不可或缺呢?趙鋭認為主要包括以下幾個方面的原因:
第一,傳統的安全保障工作明顯滯後,並且往往會增加開發與運維的工作,延後業務上線時間,而DevSecOps可以將安全通過自動化方式融入到開發與運維的過程中,大幅提升效率;
第二,隨着網絡安全的監管越來越嚴格,DevSecOps可以幫助政企機構更好地滿足合規要求;
第三,網絡安全風險加劇,使得企業開始考慮採用DevSecOps來規避相應的事件風險和法律風險。
趙鋭表示,實踐DevSecOps應從安全編碼規範、安全測試要求和安全衡量指標三個維度出發,確保開發環境、開發工具和源代碼編寫的安全性,通過單元測試、集成測試和性能測試等方式進行“查漏補缺”,在應用上線之後還要開展持續的安全運營,直至應用下線後進行數據和資源的回收。
圖 上海市信息網絡安全管理協會專家信息安全負責人趙鋭
從在傳統的瀑布式開發中加入安全測試進行安全質量把關,到敏捷開發中開源組件安全檢測、源代碼靜態掃描、自動化安全測試及其他安全活動的左移推進,遇到的諸多落地難點與共性問題。在不久前結束的RSAC2020上,不少企業都帶來了他們的解決思路。
作為國內網絡安全領軍企業,奇安信在DevSecOps上有着自己獨特的思考。武鑫在演講時表示,DevSecOps的建設需要考慮研發流程、安全工具鏈、所有相關人員的融合,在DevOps的基礎上加入安全工具鏈,將安全職責賦予到軟件研發流程中的每一個崗位。
在工具鏈方面安全測試通常是大家都在做的,但也往往成為影響業務快速上線的環節,引入IAST工具提升人效,加入SAST、SCA等技術將安全左移,加強線上的運營能力右移安全,層層發現、消除、反饋安全風險,全流程形成快速運行的閉環 ,並持續優化形成符合企業自身的最佳實踐。
圖 奇安信網絡安全部產品安全負責人武鑫
本次萬人雲峯會由北京網絡安全大會(BCS)主辦。通過1場萬人雲峯會、1場技術峯會暨3場技術分論壇,中國、美國、以色列、日本等多國網絡安全專家學者、行業領袖、技術專家、業界人士一萬餘人,跨越全球17個時區同步出席會議,為全球網絡安全發展探尋新機遇。
DevSecOps論壇作為三場技術分論壇之一,在此之前安全意識論壇、安全創客匯雲論壇已於藍信平台召開。
另外,舉辦方也曾在此次萬人雲峯會上正式宣佈,國內頂級的網絡安全峯會——北京網絡安全大會(BCS 2020)將於今年8月25日在北京召開,目前正面向全球徵集議題。