DevSecOps敏捷安全技術金字塔V3.0正式釋出

2022年12月28日，由懸鏡安全主辦，3S-Lab軟體供應鏈安全實驗室、Linux基金會OpenChain社群、ISC、OpenSCA社群聯合協辦的第二屆全球DevSecOps敏捷安全大會((DSO 2022)已透過全球直播的形式圓滿舉行。本屆大會以“共生·敏捷·進化”為主題，以“敏捷共生，守護中國軟體供應鏈安全”為使命，聚焦DevSecOps敏捷安全、軟體供應鏈安全和雲原生安全三大典型應用場景下的新技術、新態勢、新實踐。

會上，大會出品人、懸鏡安全創始人子芽以“DevSecOps敏捷安全技術演進洞察(2022)”為主題，圍繞DevSecOps敏捷安全技 術演進趨勢以及關鍵技術應用實踐作了精彩分享，並正式釋出了行業期待已久的第三版DevSecOps敏捷安全技術金字塔。

關注“懸鏡安全”官方服務號，獲取大會詳情

下面讓我們一同揭秘“DevSecOps敏捷安全技術金字塔V3.0”。

什麼是DevSecOps敏捷安全技術金字塔?

隨著企業數字化轉型加速，更多的數字資產和員工處於傳統企業基礎設施邊界之外，同時，各式各樣數字化轉型而來的新業務和新技術也成為企業安全團隊的保護物件。企業若想應對未來高階威脅和複雜場景的挑戰，支援內生自免疫、敏捷自適應、共生自進化的積極防禦安全架構成了必要選擇，安全功能應可拆分成諸多原子化的安全能力，具備離散式製造、集中式交付、統一化管理、智慧化應用等關鍵能力，進而透過控制層編排組合成適應不同業務場景安全要求的敏捷工具鏈和體系化方案。

在這樣的大背景下，DevSecOps敏捷安全技術金字塔應運而生，它是DSO敏捷安全大會出品人子芽基於長期DevSecOps敏捷安全技術前沿研究探索成果和懸鏡安全團隊在軟體供應鏈安全和雲原生安全領域多年的應用實踐沉澱匯聚而來，融合了國內外行業頭部企業 “安全左移，從源頭做風險治理”和“敏捷右移，安全運營敏捷化”的實踐思想，並持續內涵了“出廠自免疫、敏捷自適應、共生自進化”的關鍵特性(關注‘懸鏡安全’官方公眾號，即可參考子芽專業著作《DevSecOps敏捷安全》。其中，不同敏捷安全技術棧落入金字塔不同實踐階層的重點考量主要圍繞“技術創新度、產品成熟度和市場需求度”三個維度展開。

圖1 DevSecOps敏捷安全技術金字塔V3.0

DevSecOps敏捷安全技術金字塔V3.0有什麼新變化?

圖2 DevSecOps敏捷安全技術金字塔-演進對比

作為DevSecOps敏捷安全技術的引領指南，本次釋出的3.0版本不僅延續了敏捷安全技術分層與企業組織DevSecOps成熟度非正比關係的編排原則，還引入了跨領域新技術與敏捷安全技術進行深入的實踐融合。本次DevSecOps敏捷安全技術金字塔V3.0根據不同階段相關技術的應用成熟度和落地效果進一步細化了敏捷安全應用實踐的階層，包含傳統建設層、應用實踐層(敏捷安全實踐第一層)、技術探索層、效果度量層和卓越層(最高層)共五個階段，下面將逐一進行技術解碼：

傳統建設層：WAF、EDR、Deception、CKS、ASTs

從網路安全技術演進和傳統縱深防禦體系構築的視角，典型實用的安全技術主要分為邊界流量分析技術、端點環境檢測響應技術和應用情境感知響應技術。

在金字塔V3.0中，懸鏡安全首次將Deception(攻擊欺騙)和CKS(容器和K8s安全)納入並置於傳統建設層，主要是考慮到趨勢發展和相關應用實踐的成熟性，子芽提出，它們已經成為不同企業在不同場景下的基本應用要求。以CKS為例，隨著容器和微服務等新型基礎設施的日益普及和CKS技術門檻的大幅度降低，該技術被視為傳統安全體系建設過程中基本具備的安全能力。

作為傳統縱深防禦關鍵技術的WAF、EDR以及ASTs依然入選。其中ASTs包括了SAST(白盒)、DAST(黑盒)和MAST(移動應用安全)三種傳統應用安全測試技術，子芽也提到，AST技術存在進一步的融合趨勢。

應用實踐層：IAST、SCA、RASP、BAS

在應用實踐層中，涵蓋了四種既能在日常應用實踐過程中具備較好應用效果，又能與DevOps CI/CD管道柔和融合的創新技術。

其中，RASP(Runtime Application Self-protection，執行時應用自我保護)由於在0DAY未知漏洞攻擊防禦、API威脅免疫、紅藍對抗、軟體供應鏈攻擊防禦及應用東西向威脅流量檢測響應過程中相對出色的表現預期以及技術效能的大幅度提升，日漸被市場青睞，從過往所處的技術探索層踴躍至DevSecOps敏捷安全技術實踐的第一層。子芽預測，在接下來的三年中，RASP在HW、紅藍對抗等場景下會有更加廣泛的市場應用。

此外，子芽著重強調，在這一層中，IAST和RASP的深度融合是大勢所趨。隨著執行時智慧插樁、應用威脅情境感知和API智慧檢測響應等關鍵技術的創新與突破，以IAST和RASP為核心的程式碼疫苗技術迎來了蓬勃發展期。透過單探針的形式，程式碼疫苗技術不僅能在測試環境中實現應用風險檢測以及API挖掘和覆蓋分析，還能賦能數字化應用實現攻擊威脅的出廠免疫以並提供執行時敏感資料追蹤等關鍵能力，實現檢測響應一體化，支援軟體供應鏈攻擊防禦、0DAY未知漏洞攻擊防禦、應用東西向威脅流量檢測響應、無檔案攻擊檢測響應、漏洞攻擊全鏈路回溯及API威脅免疫等複雜應用場景。

圖3 All in one：“程式碼疫苗”單探針深度融合

技術探索層：DRA、SDE、Fuzzing

作為DevSecOps敏捷安全技術實踐的第二層，引入的創新技術都是具備強技術突破性，可具體解決某類應用場景下突出問題，但在通用應用效果、市場需求和實踐方面還有巨大提升潛力的前瞻性技術。

DRA(Data Risk Assessment，資料風險評估)是首次引入金字塔的創新技術。在子芽看來，DRA作為開展資料安全治理工作的基礎，主要關注資料安全風險包括資料傳輸、個人隱私、資料生命週期管理、技術漏洞等，不但受國家法律和監管要求的強推動，而且是DevSecOps敏捷安全技術實戰需求。對此子芽指出，隨著DevSecOps敏捷安全技術應用實踐的深入，敏捷安全體系的建設不再只關注應用級別的漏洞和外部攻擊威脅，還將進一步深入到敏感資料洩露風險評估和治理工作。

同樣作為首次引入金字塔的創新技術，SDE(Securing Development Environment，開發環境安全)涉及保護完整的軟體開發環境，包括但不限於原始碼儲存庫、CI/CD 管道、應用程式工件和使用者身份資訊。鑑於軟體供應鏈攻擊、開源工具的廣泛使用以及遠端工作方式導致的風險增加，保護開發環境變得至關重要。子芽認為，透過近年來的RSAC創新沙盒大賽可以發現，程式碼安全和開發環境安全已然成為軟體供應鏈安全的主要抓手，正呈現融合發展的趨勢。

這一層中第三個創新技術是連續三次引入金字塔的Fuzzing(API模糊測試)，聚焦未知漏洞挖掘和異常風險發現。但子芽表示，受限於其獨特的技術原理和高應用門檻，對常態化使用它的使用者有著較高的專業技能要求，且在檢測精度、技術效能上有較大提升空間，Fuzzing未來仍需要一段時間才能成熟。

效果度量層：ASOC、CNAPP

作為DevSecOps敏捷安全技術實踐的第三層，引入的都是框架型平臺技術，側重於提升整個敏捷安全體系的運營效率，但在市場需求和實踐方面尚有巨大提升潛力。

ASOC(Application Security Orchestration and Correlation，應用安全編排與關聯)也是首次引入金字塔的創新技術。子芽介紹到，它是由過往版本金字塔中的ASTO(Application Security Testing Orchestration，應用安全測試自動化編排)和AVC(Application Vulnerability Correlation，應用程式漏洞關聯)兩項技術合併而成，核心優勢在於可以較大程度提高DevSecOps的執行效率，可將面向應用安全(Appsec)的DevSecOps敏捷安全工具鏈真正運營起來，是安全左移實踐思想的重要落地抓手。ASTO強調的是向下編排安全工具鏈，以智慧自動化的方式來完成安全活動;AVC則從漏洞入手，針對各種AST工具長久以來無法解決的誤報、重複等問題，引入漏洞關聯分析手段協助使用者進行更好的修復優先順序判斷。

CNAPP(Cloud-Native Application Protection Platform，雲原生應用保護平臺)同樣是首次引入，它不是簡單拼湊工具，而是一個雲原生安全框架型技術，透過將現有的雲安全技術融合到一個統一的面向應用全生命週期的解決方案中，並將已經存在的單點防護進行整合，實現了從程式碼開發到構建再到部署執行整個應用生命週期的安全視覺化以及安全防護，子芽指出，從這個角度理解，CNAPP是安全左移的典型表現。它同樣也是敏捷右移實踐思想的重要落地抓手，重點從保護基礎設施轉向保護工作負載和在這些工作負載上執行的應用程式，可在統一平臺中執行所有這些功能，幫助消除DevSecOps流程中的摩擦。

卓越層：CARTA

作為DevSecOps敏捷安全技術實踐的最高層，也是DevSecOps敏捷安全體系建設的終極願景，連續三年被CARTA佔據。CARTA(Continuous Adaptive Risk and Trust Assessment，自適應風險與信任評估)從規劃、構建、運營三個維度動態評估企業的數字化業務在整個軟體全生命週期中面臨的風險和信任，不追求零風險，不要求100%信任，持續構建一個信任和彈性的研運一體化安全環境，使得企業組織能夠敏捷地、和業務共生地、持續進化地參與到軟體供應鏈安全建設和保障中去。

圖4 CARTA自適應風險與信任評估框架

子芽重點提到，網路安全的本質是風險和信任的動態平衡。DevSecOps不是安全開發和安全運營的簡單結合，安全開發的終點也不能簡單歸結為漏洞處置，安全運營的終點亦不能簡單歸結為威脅響應，而是應以終(漏洞處置和威脅響應)為始，迴歸應用和體系，以人為本，結合智慧自動化技術實現共生、敏捷、進化的安全新局面，形成真正意義上的應用全生命週期持續安全大迴圈，這才是DevSecOps敏捷安全體系建設的終極願景，也正是DevSecOps莫比烏斯環所真正象徵的意義。

DevSecOps敏捷安全技術如何落地?

最後，子芽分享了DevSecOps在落地過程中的輕量級應用實踐指南。輕量級是指該指南不是簡單面向DevSecOps敏捷安全技術金字塔所囊括的所有技術，力求能結合企業自身安全體系建設現狀在短中期內達到一定的實踐效果，幫助企業使用者逐步構築一套適應自身業務彈性發展、面向敏捷業務交付並引領未來架構演進的安全開發運營共生體系，兼顧文化、流程、技術演進和持續度量。

圖5 DevSecOps輕量級應用實踐指南

DevSecOps敏捷安全技術金字塔V3.0的釋出，又一次重新整理了行業力量對軟體供應鏈安全體系建設的新認知，全方位、系統性、深層次地把脈了DevSecOps敏捷安全技術的未來演進趨勢、軟體供應鏈安全領域技術創新研究和落地實踐的進化方向，更以實際行動推動安全產業生態共建、共治、共享，傳遞和初步踐行了DSO敏捷安全大會“敏捷共生，守護中國軟體供應鏈安全”的使命。

關注“懸鏡安全”、“DevSecOps敏捷安全大會”公眾號，獲取DSO大會更多精彩內容回顧。