传统研发运营模式中,安全位置相对滞后,无法覆盖研发阶段的安全问题。
日前,《研发运营安全白皮书( 2020 年)》(以下简称“白皮书”)在中国信息通信研究院、中国通信标准化协会联合主办的可信云线上峰会上正式发布。该白皮书是由中国信息通信研究院牵头,联合腾讯、华为、阿里、京东等诸多知名企业共同编制的,旨在用系统化、流程化方法梳理软件应用服务研发运营全生命周期安全及发展趋势,帮助从业者提升对软件应用服务研发运营安全的理解。
安全左移,构成新型研发运营安全体系的最初一步
白皮书中指出,近年来安全事件频发的主要原因,就是软件应用服务自身存在的代码安全漏洞被黑客利用攻击。根据Verizon 、Forrester 以及Gartner 等全球知名机构、咨询公司所统计发布的研究数据来看,由程序中的代码安全漏洞以及权限设置机制等原因引发的Web应用程序威胁漏洞和因代码应用层存在安全漏洞,是外部攻击和数据泄露等安全事件发生的主要原因。
在软件应用服务已经渗透至各行业领域中的当下,传统研发运营安全模式属于被动防御性手段,以防病毒、防火墙等为代表的安全功能关注的都是交付运行之后的安全问题,相对滞后的安全手段无法覆盖研发阶段代码层面的安全,其安全测试范围相对有限,且安全漏洞修复成本也更大。
白皮书认为,如果要解决代码所导致的安全问题,就需要考虑将安全左移,从而搭建覆盖软件应用服务全生命周期的、新型研发运营安全体系。
此外,白皮书还对新型研发运营安全体系的四大特点和七大环节进行了详细介绍,其中四大特点包括:
1. 覆盖范围更广,延伸至下线停用阶段,覆盖软件应用服务全生命周期;
2. 更具普适性,抽取关键要素,不依托于任何开发模式与体系;
3. 不止强调安全工具,同样注重安全管理,强化人员安全能力;
4. 进行运营安全数据反馈,形成安全闭环,不断优化流程实践。
而七大环节则分为软件应用服务研发的要求阶段、安全需求分析阶段到上线后的发布阶段、运营阶段、停用下线阶段等七个阶段。
传统研发运营安全模式仅能对发布、运营和停用下线阶段进行保护。而在安全左移之后,新型研发运营安全体系就能够在软件应用服务设计早期便引入安全概念,从而让安全覆盖软件应用服务全生命周期,最终实现达成降低安全问题解决成本、全方面提升服务应用安全和提升人员安全能力的目的。
不难看出,安全左移是搭建新型研发运营安全体系的重要前提。
研发运营安全体系,需向敏捷化、自动化演进
一直以来,研发运营安全相关体系的发展与开发模式的变化是密不可分的。随着近年来云计算的普及,越来越多的企业开始将业务,尤其是核心业务向云原生的环境迁移,对软件开发的质量和效率的要求不断提高。
而DevOps作为一款云原生、API所驱动的敏捷开发工具,被云上企业广泛应用于软件应用服务开发和部署的过程中。白皮书认为,为适应软件应用服务开发模式逐步向敏捷化发展的趋势,研发运营安全体系也应随之向敏捷化演进,能够将安全工具无缝集成到开发过程中的“DevSecOps”开发框架,将成为未来研发运营安全的关键组成部分。
安全专家建议,在构建“DevSecOps”框架中的功能时,需要重点考虑风险和威胁建模、自定义代码扫描、开源软件扫描和追踪、系统配置漏洞扫描、安全测试的自动化部署等安全功能。同时,用户使用 DevOps 的目的决定了其对“自动化”和“持续性”的要求尤为突出,因此在将安全工具集成到开发过程之中时,也应该遵循“自动化”和“透明”的原则。
全生命周期安全体系,已在部分领域中成功落地
尽管白皮书给出了新型研发运营安全体系的构成和实现路径,但安全左移、自动化和全生命周期安全保护在应用实践中有着更高的要求。对于这类企业而言,选择配套上云+云上原生安全产品组合,同样不失为另一种解决方案。
腾讯安全在 7 月举办的“产业安全公开课·云原生专场”中,在直播课程中对外分享了腾讯安全云原生安全运营体系的构建理念,即以云原生为中心,以安全左移、数据驱动及自动化为基本支撑,从而实现云上的全生命周期安全管理。
其中,安全左移指的是云原生安全运营体系。首先应该具备事前感知安全威胁和配置风险检查能力,既以构建安全预防体系的方式提升整体安全水平;而数据驱动则是云原生安全运营的基本要求,通过建立云上安全数据湖对各安全产品上的数据进行收集和统一管理;最后,通过云上资产自动化盘点及云上威胁自动化响应处置等自动化技术,对收集到的云上安全问题进行自动响应和处置,最终构建出对安全威胁从感知到检测再到应对处置的全生命周期安全管理体系。
目前,腾讯安全以云原生安全运营体系为核心所打造的安全产品——腾讯安全运营中心累计为政府、金融、运营商、医疗、互联网等多个领域提供安全保障。未来,腾讯安全将继续探索全生命周期安全在其他产品和领域中的应用场景和实现路径,为增强行业关于研发运营安全认识、实现安全可信生态建设提供助力。