阿里釋出安全基建大圖 實現萬行程式碼漏洞數下降56%

圖說：阿里巴巴新一代安全架構（左），阿里巴巴安全基建大圖（右）。

 社會發展階段使然，加之新冠疫情因素疊加，政府組織、各行各業都在加速數字化。新基建如火如荼，然而，越是飛速發展，安全生產就必須更加重視。

兩會期間，多位全國政協委員提案都呼籲儘快出臺安全基建國家標準，周漢民、彭靜等政協委員認為，大型網際網路企業應該在建設“安全基建”標準方面提供更多實踐參考。
近日，阿里安全基於20年間實踐經驗沉澱總結的新一代安全架構，正式對外發布了全新的安全基建大圖及應用安全企業標準。

業內人士評價稱，在數字化程式中，許多中小企業沒有能力部署、運營和駕馭一套複雜的安全體系，阿里安全推出的安全基建大圖及完整構建體系，為整個產業的安全能力建設，提供了可快速複製的參考樣板。

保障新基建安全 安全教育不可或缺

阿里釋出的新一代安全架構主要包括安全技術、安全基建和安全運營三層核心。

安全技術層是安全底層能力的集合，向上支援安全基建層，安全基建層將能力沉澱為標準體系及配套的流程、產品，形成安全中臺，通過中臺建立可信的應用體系，達到風險預防免疫的效果。  

作為三層核心架構中的“重心”，安全基建層的作用是在數字經濟實體搭建過程中，建立標準化流程、引入關鍵技術，解決數字經濟實體搭建的“安全施工標準”問題。

阿里安全首席架構師錢磊強調：“從建設之初就要開始打造免疫力，真正讓新基建的每一塊‘磚’都安全可溯源。”

在安全基建大圖中，應用安全企業標準主要定義了應用安全從能力到產品、產品到流程、流程觸達使用者的要求與建設方案。其主要包括完備應用安全流程、構建相應管理機制、建設度量體系和為規範確認執行細節等四個部分。

此外，阿里安全團隊還為新安全基建打造了一套應用可信體系。這套體系可保障應用本身的安全，比如執行環境安全，任意資源只能以應用的身份加入到可信應用網路中，其上執行的程式碼、儲存的資料經過完整的安全生命研發週期。另外，還能保障應用呼叫的安全。

應用安全與人的安全意識緊密相關。參與安全基建大圖設計的阿里安全高階產品運營專家岑汐認為，歸根結底還是安全教育的問題，應該加強打造以安全技術和安全意識為中心的基建能力。

阿里安全基建樣本執行成效顯著

阿里釋出的數字基建新一代安全架構目前已在阿里新零售事業群和淘寶直播等新興業務場景應用落地，並取得了顯著的安全性和穩定性成效。
“安全基建在新零售事業部的實踐中，共計發現並完成整改282項風險，在企標、紅線及配套體系產品落地後，萬行程式碼引入漏洞數斷崖式下降56%。”阿里安全高階安全專家林峻認為，將安全前置，從源頭發現安全風險並予以預防，才是打造安全基建的核心要義。

目前，淘寶直播也已完成了全員安全能力認證。阿里安全資深技術專家鐵花分析稱，這套安全基建的完整建設方案不僅對阿里自身有效，對整個行業也具有極高的參考意義：“這是一套即插即用的標準化安全架構，可幫助社會各界在數字化程式中構建完整的安全基礎設施”。

錢磊表示，阿里安全每天為超過7億消費者和千萬商家提供全面的安全保障，期待將掌握的安全服務能力和安全標準輸出，幫助更多企業進行安全能力建設。