首页 > 传媒 > 关键词 > 腾讯安全最新资讯 > 正文

《研发运营安全白皮书( 2020 年)》深度解读:全生命周期安全体系将是未来趋势

2020-08-14 19:37 · 稿源:站长之家用户投稿

传统研发运营模式中,安全位置相对滞后,无法覆盖研发阶段的安全问题。

日前,《研发运营安全白皮书( 2020 年)》(以下简称“白皮书”)在中国信息通信研究院、中国通信标准化协会联合主办的可信云线上峰会上正式发布。该白皮书是由中国信息通信研究院牵头,联合腾讯、华为、阿里、京东等诸多知名企业共同编制的,旨在用系统化、流程化方法梳理软件应用服务研发运营全生命周期安全及发展趋势,帮助从业者提升对软件应用服务研发运营安全的理解。

安全左移,构成新型研发运营安全体系的最初一步

白皮书中指出,近年来安全事件频发的主要原因,就是软件应用服务自身存在的代码安全漏洞被黑客利用攻击。根据Verizon 、Forrester 以及Gartner 等全球知名机构、咨询公司所统计发布的研究数据来看,由程序中的代码安全漏洞以及权限设置机制等原因引发的Web应用程序威胁漏洞和因代码应用层存在安全漏洞,是外部攻击和数据泄露等安全事件发生的主要原因。

在软件应用服务已经渗透至各行业领域中的当下,传统研发运营安全模式属于被动防御性手段,以防病毒、防火墙等为代表的安全功能关注的都是交付运行之后的安全问题,相对滞后的安全手段无法覆盖研发阶段代码层面的安全,其安全测试范围相对有限,且安全漏洞修复成本也更大。

白皮书认为,如果要解决代码所导致的安全问题,就需要考虑将安全左移,从而搭建覆盖软件应用服务全生命周期的、新型研发运营安全体系。

此外,白皮书还对新型研发运营安全体系的四大特点和七大环节进行了详细介绍,其中四大特点包括:

1. 覆盖范围更广,延伸至下线停用阶段,覆盖软件应用服务全生命周期;

2. 更具普适性,抽取关键要素,不依托于任何开发模式与体系;

3. 不止强调安全工具,同样注重安全管理,强化人员安全能力;

4. 进行运营安全数据反馈,形成安全闭环,不断优化流程实践。

而七大环节则分为软件应用服务研发的要求阶段、安全需求分析阶段到上线后的发布阶段、运营阶段、停用下线阶段等七个阶段。

传统研发运营安全模式仅能对发布、运营和停用下线阶段进行保护。而在安全左移之后,新型研发运营安全体系就能够在软件应用服务设计早期便引入安全概念,从而让安全覆盖软件应用服务全生命周期,最终实现达成降低安全问题解决成本、全方面提升服务应用安全和提升人员安全能力的目的。

不难看出,安全左移是搭建新型研发运营安全体系的重要前提。

研发运营安全体系,需向敏捷化、自动化演进

一直以来,研发运营安全相关体系的发展与开发模式的变化是密不可分的。随着近年来云计算的普及,越来越多的企业开始将业务,尤其是核心业务向云原生的环境迁移,对软件开发的质量和效率的要求不断提高。

而DevOps作为一款云原生、API所驱动的敏捷开发工具,被云上企业广泛应用于软件应用服务开发和部署的过程中。白皮书认为,为适应软件应用服务开发模式逐步向敏捷化发展的趋势,研发运营安全体系也应随之向敏捷化演进,能够将安全工具无缝集成到开发过程中的“DevSecOps”开发框架,将成为未来研发运营安全的关键组成部分。

安全专家建议,在构建“DevSecOps”框架中的功能时,需要重点考虑风险和威胁建模、自定义代码扫描、开源软件扫描和追踪、系统配置漏洞扫描、安全测试的自动化部署等安全功能。同时,用户使用 DevOps 的目的决定了其对“自动化”和“持续性”的要求尤为突出,因此在将安全工具集成到开发过程之中时,也应该遵循“自动化”和“透明”的原则。

全生命周期安全体系,已在部分领域中成功落地

尽管白皮书给出了新型研发运营安全体系的构成和实现路径,但安全左移、自动化和全生命周期安全保护在应用实践中有着更高的要求。对于这类企业而言,选择配套上云+云上原生安全产品组合,同样不失为另一种解决方案。

腾讯安全在 7 月举办的“产业安全公开课·云原生专场”中,在直播课程中对外分享了腾讯安全云原生安全运营体系的构建理念,即以云原生为中心,以安全左移、数据驱动及自动化为基本支撑,从而实现云上的全生命周期安全管理。

其中,安全左移指的是云原生安全运营体系。首先应该具备事前感知安全威胁和配置风险检查能力,既以构建安全预防体系的方式提升整体安全水平;而数据驱动则是云原生安全运营的基本要求,通过建立云上安全数据湖对各安全产品上的数据进行收集和统一管理;最后,通过云上资产自动化盘点及云上威胁自动化响应处置等自动化技术,对收集到的云上安全问题进行自动响应和处置,最终构建出对安全威胁从感知到检测再到应对处置的全生命周期安全管理体系。

目前,腾讯安全以云原生安全运营体系为核心所打造的安全产品——腾讯安全运营中心累计为政府、金融、运营商、医疗、互联网等多个领域提供安全保障。未来,腾讯安全将继续探索全生命周期安全在其他产品和领域中的应用场景和实现路径,为增强行业关于研发运营安全认识、实现安全可信生态建设提供助力。

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 腾讯安全专家直播分享:云原生水面下的安全航线

    上云初期,大部分应用程序是从本地环境直接移植到云上的,这些应用程序在设计开发时并没有考虑云环境的特殊问题,很容易出现“水土不服”的情况。为了让应用程序更好地适应云环境,以云作为最终部署环境,按照云环境的要求所开发的应用程序——云原生应用被相继开发出来,为加速企业数字化转型进程提供重要助力。除了应用程序适配性的问题外,云原生应用的普及在为企业带来高效、便捷的使用体验的同时,也带来了传统安全手段无法应

  • 腾讯安全与青藤举办新品战略发布会,推出容器安全平台

    近年来,以容器为代表的云原生得到了市场的高度认可,正逐步成为新一代主流IT基础设施。但由于容器以及容器应用环境引发的安全风险与安全事件不断爆出,容器的安全问题也随之浮出水面。8 月 6 日,腾讯安全和青藤云安全共同举办容器安全平台新品战略合作发布会,基于腾讯安全提供的高效稳定的云服务为基础,以青藤的最新容器安全平台为依托,打造青藤蜂巢·容器安全平台,助力企业客户有效解决安全上云问题。(青藤与腾讯安全新品?

  • 上万台MSSQL服务器沦为门罗币矿机,腾讯安全专家提醒要这样做!

    新型挖矿木马来了!近日,腾讯安全威胁情报中心检测到针对MSSQL服务器攻击的挖矿木马,该挖矿木马主要针对MSSQL服务进行爆破弱口令攻击,爆破成功后会植入门罗币挖矿木马进行挖矿。据腾讯安全评估,截止目前已有上万台服务器沦为门罗币矿机。对此,腾讯安全专家提醒企业应避免使用弱口令。同时,腾讯安全终端安全管理系统已可拦截查杀该挖矿木马。据腾讯安全专家介绍,该黑产团伙对MSSQL服务器进行爆破成功后,会下载执行HFS服务器

  • 腾讯安全发布《2020上半年勒索病毒报告》 政企机构仍是勒索“头号目标”

    近日,腾讯安全正式对外发布《 2020 上半年勒索病毒报告》(以下简称“报告”)。《报告》显示,上半年全球大型企业遭受勒索病毒打击的事件依然高频发生。其中,最活跃的勒索病毒家族发起针对性极强的大型“狩猎”活动,对企业开出天价解密赎金;新型勒索病毒层出不穷,技术上不断进化。而勒索手段也从单纯的赎金换密钥,升级到不给赎金就公开机密数据。腾讯安全也提供从威胁情报到安全产品的整体防护解决方案,协助企业抵御勒索病

  • 腾讯宣布与宝马开展数字化合作 “腾讯小场景”年内可车上使用

    DoNews7月27日消息(记者 翟继茹)27日,腾讯宣布将与宝马开展数字化合作,腾讯生态车联网TAI中的车载轻应用生态“腾讯小场景”与“微信车载版”将在BMW车上的应用。腾讯方面介绍,“腾讯小场景”基于微信小程序的框架可以提供百万量级应用生态,支持语音交互,无需下载安装。双方合作的小场景将在今年内在国内使用,包括资讯、美食、娱乐、出行、教育等领域。(完)

  • 腾讯qq无故冻结账号 附腾讯官方回应全文

    针对今日网友反馈QQ账号被冻结一事,腾讯QQ官微刚刚回应称:已经修复完毕,目前可正常使用。今日有大量QQ用户反馈账号被无故冻结,且无法解冻。用户称,很多人的账号都在同一时间被封,而大部分人冻结理由都是违规业务行为。同时网友表示账号并未进行违规操作。你的QQ帐号被冻结了吗?

  • 腾讯音乐:踏实者的犒赏

    核心要点:在互联网的冲击下,唱片工业链条被打破,整个行业必须基于数字音乐的特点进行秩序重组,才能获得新生。数字音乐平台的功能在不断进化,数字专辑、TME live等形式成为新的“唱片工业链条”,同时不断完善商业模式,实现自我造血,反哺音乐内容建设。TME这样的行业参与者,是音乐行业重构的核心推动力量,它的种种布局实际上远远超出了一个数字音乐平台诞生之初的定位和能力半径,也在行业健康的发展态势中获得了应有的回?

  • 腾讯宝马合作升级 将为车主提供“腾讯小场景“与”微信车载版”

    宝马与腾讯宣布开展数字化合作,将推进腾讯生态车联网TAI中的车载轻应用生态“腾讯小场景”与“微信车载版”在BMW车上的应用。

  • 腾讯游戏宽带是什么 腾讯游戏宽带详细介绍

    近日,腾讯联合中国上海公司开发了一个名为“游戏宽带”的活动,面向部分区局的SDN网关用户开放体验活动,为用户提供下载和更新游戏的独享通道带宽保障,并支持多款游戏加速,很多朋友还不清楚这个腾讯的游戏宽带到底是什么,下面就来为大家详细大家介绍一下。

  • 搜狗回应腾讯收购要约说了什么?腾讯有意全资收购搜狗

    【搜狗回应腾讯收购要约】据媒体报道, 7 月 27 日晚间,搜狗公司宣布其董事会收到腾讯控股初步不具约束力的收购要约。腾讯计划以每股 9 美元收购所有未持有的搜狗普通股股票,这笔交易若完成搜狗将成为腾讯子公司,而搜狗将从纽交所摘牌。

  • 腾讯财报首次定义私域!

    于昨日( 8 月 12 日)发布的 2020 年Q2 财报中,腾讯首次提及了私域这一概念,并接近给出了一个定义和未来市场预判。在“业务回顾与展望”部分,腾讯写道:

  • 腾讯回应特朗普禁令

    ​对于美国总统特朗普发布的总统行政令,腾讯公司在8 月 7 日晚间,在港交所发布澄清公告称,我们注意到,美国总统于 2020 年 8 月 6 日颁布了一项行政命令,禁止与WeChat应用程式相关并受制于美国管辖的若干交易。公司正在审阅行政命令的潜在后果。

  • 特朗普发布对微信禁令 腾讯怎么办?

    8月7日消息,美国总统特朗普于当地时间6日签署行政命令,宣布将在45天后禁止任何美国个人及企业与TikTok母公司字节跳动进行任何交易,禁止美国个人及企业与腾讯公司进行与微信有关的任何交易。由于上述行政命令未有详细说明,有外媒将此项行政命令解读为对腾讯和微信的禁令,但是也有外媒解读为是仅针对微信的禁令,不涉及腾讯其他业务。对于这一突发事件,腾讯方面尚未公开进行回应,仅表示内部正在评估该行政命令,?

  • 腾讯视频发布最新战略:升级分账机制 推出腾讯视频号

    腾讯视频近日发布了包括影视、综艺、产业效能等方面的最新战略,包括升级分账机制,推出腾讯视频号等,并分别围绕影视剧、综艺、动漫、电影等品类发布了重点项目。发布会上,腾讯公司副总裁、企鹅影视CEO孙忠怀表示,腾讯视频将加大对优质内容的投入,一是用平台运营经验、技术工具、数据等为创作赋能;二是将升级内容分账机制,提出更有竞争力的长视频分账制度;三是重视长短视频生态建设,推出腾讯视频

  • 腾讯收购搜狗花了多少钱?腾讯有意全资收购搜狗是怎么回事

    ​【腾讯收购搜狗花了多少钱】据媒体报道,腾讯向搜狗发出初步非约束性收购要约。据悉,腾讯有意以 9 美元/ADS的价格收购搜狗剩余股份。随后,搜狗CEO王小川在朋友圈发文称,感谢腾讯公司对搜狗公司价值以及技术能力、产品创新能力的认可。接下来会对相关事宜进行认真的讨论和衡量,让搜狗能够持续为用户创造更大的价值。

  • 曝斗鱼和虎牙合并!腾讯正在牵头谈判

    据国内媒体报道,有知情人士透露,腾讯正在推动中国最大的游戏流媒体平台——虎牙和斗鱼的合并事宜,这笔交易将使得腾讯牢牢占据市场领先地位。目前,我国游戏直播市场规模至少34亿

  • 腾讯直享直播怎么赚钱

    腾讯直享直播怎么赚钱?日前腾讯智慧零售面向微信生态内的商家推出一款直播工具——直享,这款产品不仅具备内容分发能力,还将涵盖直播、分发、SKU 管理、支付、售后等链条全部环节,可以说是一站式直播带货解决方案。直享直播是微信体系内具备内容分发能力的一站式直播变现工具,也可以理解为直播变现工具+群运营工具。以下是关腾讯直享直播怎么赚钱介绍。

  • 腾讯有意全资收购搜狗

    昨日晚间,搜狗宣布收到腾讯的初步非约束性要约,拟以每普通股或每美国存托股份(ADS) 9. 00 美元的价格,现金收购搜狗包括ADS在内尚未被腾讯或其附属公司持有的所有剩余的流通中普通股。

  • 腾讯陈书俊:科技,课堂创新的新动能

    7月18日,校长会联合腾讯教育举办的“科技,创造教育新未来——第三届专业学校改进计划年会”在腾讯深圳总部召开。会上,腾讯教育副总裁、腾讯在线教育部总经理陈书俊以“科技,课堂创新的新动能”为题发表演讲。腾讯教育副总裁、腾讯在线教育部总经理陈书俊陈书俊从连接、内容以及AI+教育三个角度,分别阐述了腾讯教育如何发挥科技优势为课堂创新提供新动能。在连接层面,腾讯教育为全国各地中小学在疫情期间提供复课保障,并通过腾讯课?

  • 特斯拉将与腾讯《和平精英》进行联动

    ​今日,特斯拉官方微博称,将与腾讯《和平精英》进行联动。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议
  • 热门标签