傳統研發運營模式中,安全位置相對滯後,無法覆蓋研發階段的安全問題。
日前,《研發運營安全白皮書(2020年)》(以下簡稱“白皮書”)在中國資訊通訊研究院、中國通訊標準化協會聯合主辦的可信雲線上峰會上正式釋出。該白皮書是由中國資訊通訊研究院牽頭,聯合騰訊、華為、阿里、京東等諸多知名企業共同編制的,旨在用系統化、流程化方法梳理軟體應用服務研發運營全生命週期安全及發展趨勢,幫助從業者提升對軟體應用服務研發運營安全的理解。
安全左移,構成新型研發運營安全體系的最初一步
白皮書中指出,近年來安全事件頻發的主要原因,就是軟體應用服務自身存在的程式碼安全漏洞被駭客利用攻擊。根據Verizon 、Forrester 以及Gartner 等全球知名機構、諮詢公司所統計釋出的研究資料來看,由程式中的程式碼安全漏洞以及許可權設定機制等原因引發的Web應用程式威脅漏洞和因程式碼應用層存在安全漏洞,是外部攻擊和資料洩露等安全事件發生的主要原因。
在軟體應用服務已經滲透至各行業領域中的當下,傳統研發運營安全模式屬於被動防禦性手段,以防病毒、防火牆等為代表的安全功能關注的都是交付執行之後的安全問題,相對滯後的安全手段無法覆蓋研發階段程式碼層面的安全,其安全測試範圍相對有限,且安全漏洞修復成本也更大。
白皮書認為,如果要解決程式碼所導致的安全問題,就需要考慮將安全左移,從而搭建覆蓋軟體應用服務全生命週期的、新型研發運營安全體系。
此外,白皮書還對新型研發運營安全體系的四大特點和七大環節進行了詳細介紹,其中四大特點包括:
1. 覆蓋範圍更廣,延伸至下線停用階段,覆蓋軟體應用服務全生命週期;
2. 更具普適性,抽取關鍵要素,不依託於任何開發模式與體系;
3. 不止強調安全工具,同樣注重安全管理,強化人員安全能力;
4. 進行運營安全資料反饋,形成安全閉環,不斷最佳化流程實踐。
而七大環節則分為軟體應用服務研發的要求階段、安全需求分析階段到上線後的釋出階段、運營階段、停用下線階段等七個階段。
傳統研發運營安全模式僅能對釋出、運營和停用下線階段進行保護。而在安全左移之後,新型研發運營安全體系就能夠在軟體應用服務設計早期便引入安全概念,從而讓安全覆蓋軟體應用服務全生命週期,最終實現達成降低安全問題解決成本、全方面提升服務應用安全和提升人員安全能力的目的。
不難看出,安全左移是搭建新型研發運營安全體系的重要前提。
研發運營安全體系,需向敏捷化、自動化演進
一直以來,研發運營安全相關體系的發展與開發模式的變化是密不可分的。隨著近年來雲端計算的普及,越來越多的企業開始將業務,尤其是核心業務向雲原生的環境遷移,對軟體開發的質量和效率的要求不斷提高。
而DevOps作為一款雲原生、API所驅動的敏捷開發工具,被雲上企業廣泛應用於軟體應用服務開發和部署的過程中。白皮書認為,為適應軟體應用服務開發模式逐步向敏捷化發展的趨勢,研發運營安全體系也應隨之向敏捷化演進,能夠將安全工具無縫整合到開發過程中的“DevSecOps”開發框架,將成為未來研發運營安全的關鍵組成部分。
安全專家建議,在構建“DevSecOps”框架中的功能時,需要重點考慮風險和威脅建模、自定義程式碼掃描、開源軟體掃描和追蹤、系統配置漏洞掃描、安全測試的自動化部署等安全功能。同時,使用者使用 DevOps 的目的決定了其對“自動化”和“持續性”的要求尤為突出,因此在將安全工具整合到開發過程之中時,也應該遵循“自動化”和“透明”的原則。
全生命週期安全體系,已在部分領域中成功落地
儘管白皮書給出了新型研發運營安全體系的構成和實現路徑,但安全左移、自動化和全生命週期安全保護在應用實踐中有著更高的要求。對於這類企業而言,選擇配套上雲+雲上原生安全產品組合,同樣不失為另一種解決方案。
騰訊安全在7月舉辦的“產業安全公開課·雲原生專場”中,在直播課程中對外分享了騰訊安全雲原生安全運營體系的構建理念,即以雲原生為中心,以安全左移、資料驅動及自動化為基本支撐,從而實現雲上的全生命週期安全管理。
其中,安全左移指的是雲原生安全運營體系。首先應該具備事前感知安全威脅和配置風險檢查能力,既以構建安全預防體系的方式提升整體安全水平;而資料驅動則是雲原生安全運營的基本要求,透過建立雲上安全資料湖對各安全產品上的資料進行收集和統一管理;最後,透過雲上資產自動化盤點及雲上威脅自動化響應處置等自動化技術,對收集到的雲上安全問題進行自動響應和處置,最終構建出對安全威脅從感知到檢測再到應對處置的全生命週期安全管理體系。
目前,騰訊安全以雲原生安全運營體系為核心所打造的安全產品——騰訊安全運營中心累計為政府、金融、運營商、醫療、網際網路等多個領域提供安全保障。未來,騰訊安全將繼續探索全生命週期安全在其他產品和領域中的應用場景和實現路徑,為增強行業關於研發運營安全認識、實現安全可信生態建設提供助力。