专栏首页腾讯安全《研发运营安全白皮书(2020年)》深度解读:全生命周期安全体系将是未来趋势
原创

《研发运营安全白皮书(2020年)》深度解读:全生命周期安全体系将是未来趋势

传统研发运营模式中,安全位置相对滞后,无法覆盖研发阶段的安全问题。

日前,《研发运营安全白皮书(2020年)》(以下简称“白皮书”)在中国信息通信研究院、中国通信标准化协会联合主办的可信云线上峰会上正式发布。该白皮书是由中国信息通信研究院牵头,联合腾讯、华为、阿里、京东等诸多知名企业共同编制的,旨在用系统化、流程化方法梳理软件应用服务研发运营全生命周期安全及发展趋势,帮助从业者提升对软件应用服务研发运营安全的理解。

安全左移,构成新型研发运营安全体系的最初一步

白皮书中指出,近年来安全事件频发的主要原因,就是软件应用服务自身存在的代码安全漏洞被黑客利用攻击。根据Verizon 、Forrester 以及Gartner 等全球知名机构、咨询公司所统计发布的研究数据来看,由程序中的代码安全漏洞以及权限设置机制等原因引发的Web应用程序威胁漏洞和因代码应用层存在安全漏洞,是外部攻击和数据泄露等安全事件发生的主要原因。

在软件应用服务已经渗透至各行业领域中的当下,传统研发运营安全模式属于被动防御性手段,以防病毒、防火墙等为代表的安全功能关注的都是交付运行之后的安全问题,相对滞后的安全手段无法覆盖研发阶段代码层面的安全,其安全测试范围相对有限,且安全漏洞修复成本也更大。

白皮书认为,如果要解决代码所导致的安全问题,就需要考虑将安全左移,从而搭建覆盖软件应用服务全生命周期的、新型研发运营安全体系。

此外,白皮书还对新型研发运营安全体系的四大特点和七大环节进行了详细介绍,其中四大特点包括:

1. 覆盖范围更广,延伸至下线停用阶段,覆盖软件应用服务全生命周期;

2. 更具普适性,抽取关键要素,不依托于任何开发模式与体系;

3. 不止强调安全工具,同样注重安全管理,强化人员安全能力;

4. 进行运营安全数据反馈,形成安全闭环,不断优化流程实践。

而七大环节则分为软件应用服务研发的要求阶段、安全需求分析阶段到上线后的发布阶段、运营阶段、停用下线阶段等七个阶段。

传统研发运营安全模式仅能对发布、运营和停用下线阶段进行保护。而在安全左移之后,新型研发运营安全体系就能够在软件应用服务设计早期便引入安全概念,从而让安全覆盖软件应用服务全生命周期,最终实现达成降低安全问题解决成本、全方面提升服务应用安全和提升人员安全能力的目的。

不难看出,安全左移是搭建新型研发运营安全体系的重要前提。

研发运营安全体系,需向敏捷化、自动化演进

一直以来,研发运营安全相关体系的发展与开发模式的变化是密不可分的。随着近年来云计算的普及,越来越多的企业开始将业务,尤其是核心业务向云原生的环境迁移,对软件开发的质量和效率的要求不断提高。

而DevOps作为一款云原生、API所驱动的敏捷开发工具,被云上企业广泛应用于软件应用服务开发和部署的过程中。白皮书认为,为适应软件应用服务开发模式逐步向敏捷化发展的趋势,研发运营安全体系也应随之向敏捷化演进,能够将安全工具无缝集成到开发过程中的“DevSecOps”开发框架,将成为未来研发运营安全的关键组成部分。

安全专家建议,在构建“DevSecOps”框架中的功能时,需要重点考虑风险和威胁建模、自定义代码扫描、开源软件扫描和追踪、系统配置漏洞扫描、安全测试的自动化部署等安全功能。同时,用户使用 DevOps 的目的决定了其对“自动化”和“持续性”的要求尤为突出,因此在将安全工具集成到开发过程之中时,也应该遵循“自动化”和“透明”的原则。

全生命周期安全体系,已在部分领域中成功落地

尽管白皮书给出了新型研发运营安全体系的构成和实现路径,但安全左移、自动化和全生命周期安全保护在应用实践中有着更高的要求。对于这类企业而言,选择配套上云+云上原生安全产品组合,同样不失为另一种解决方案。

腾讯安全在7月举办的“产业安全公开课·云原生专场”中,在直播课程中对外分享了腾讯安全云原生安全运营体系的构建理念,即以云原生为中心,以安全左移、数据驱动及自动化为基本支撑,从而实现云上的全生命周期安全管理。

其中,安全左移指的是云原生安全运营体系。首先应该具备事前感知安全威胁和配置风险检查能力,既以构建安全预防体系的方式提升整体安全水平;而数据驱动则是云原生安全运营的基本要求,通过建立云上安全数据湖对各安全产品上的数据进行收集和统一管理;最后,通过云上资产自动化盘点及云上威胁自动化响应处置等自动化技术,对收集到的云上安全问题进行自动响应和处置,最终构建出对安全威胁从感知到检测再到应对处置的全生命周期安全管理体系。

目前,腾讯安全以云原生安全运营体系为核心所打造的安全产品——腾讯安全运营中心累计为政府、金融、运营商、医疗、互联网等多个领域提供安全保障。未来,腾讯安全将继续探索全生命周期安全在其他产品和领域中的应用场景和实现路径,为增强行业关于研发运营安全认识、实现安全可信生态建设提供助力。

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 持证上岗!腾讯安全专家服务获CCRC三项资质认证

    近日,经中国网络安全审查技术与认证中心(CCRC)测评,腾讯荣获三项信息安全服务资质证书,包括“信息安全风险评估服务资质证书(三级)”、“信息安全应急处理服务资...

    腾讯安全
  • 腾讯安全发布《应用安全开发能力图谱》

    ​​产业互联网快速发展的同时也面临诸多安全挑战,安全威胁的发展呈现出新的特征和形势,应用系统面临的威胁环境不断变化,其安全形势仍不容乐观。研究机构近年来对网络安...

    腾讯安全
  • 专访吴石/李滨/翟尤:5G新时代,如何做好安全建设?

    在中央多次提及下,“新基建”一跃成为当下最热的社会关注点。紧跟着中央指导意见而来的,是单个方向加速的细则落地。

    腾讯安全
  • 数据团队「隐形守护者」!从被动应对到资源输出,腾讯安全20年成长记

    本文为清华大学大数据研究中心联合大数据文摘发起的年度白皮书《顶级数据团队建设全景报告》系列专访的第三篇内容。《报告》囊括专家访谈、问卷、网络数据分析,力求为行业...

    大数据文摘
  • Techo云安全专场议题前瞻丨数据安全解决方案重磅首发、区块链安全威胁全景公开……

    11月6日-7日,首届腾讯 Techo 开发者大会将在北京举行。在这场持续2天的技术盛宴中,全球5000多位开发者、超140位中外业界大咖将齐聚一堂,为开发者...

    云鼎实验室
  • 腾讯安全发布《应用安全开发能力图谱》

    ​​产业互联网快速发展的同时也面临诸多安全挑战,安全威胁的发展呈现出新的特征和形势,应用系统面临的威胁环境不断变化,其安全形势仍不容乐观。研究机构近年来对网络安...

    腾讯安全
  • 专访吴石/李滨/翟尤:5G新时代,如何做好安全建设?

    在中央多次提及下,“新基建”一跃成为当下最热的社会关注点。紧跟着中央指导意见而来的,是单个方向加速的细则落地。

    腾讯安全
  • SDNLAB技术分享(十八):软件定义安全-SDN/NFV新型网络的安全揭秘

    1 大背景 1.1 SDx背景 ? 我比较喜欢用这张图作为开场白,在数据中心中,计算和存储的发展非常快,但是网络相对而言还是比较初级。这一点从Opentack的...

    SDNLAB
  • 腾讯丁珂:从战略视角构筑云数据时代企业全方位攻防能力

    11月20日,腾讯全球数字生态大会城市峰会来到上海,数百位专家、学者、企业领袖围绕数字经济时代城市共荣、产业共创、生态共建等方向展开探讨。

    腾讯安全
  • 首次公开云上攻击路径全景,腾讯安全联合GeekPwn发布《2019云安全威胁报告》

    云计算因低成本、高配置以及安全等配套服务等突出优势,成为越来越多企业数字化转型升级的首要选择。 IDC最新预测数据显示,全球公有云收入到2021年将达到278...

    云鼎实验室

扫码关注云+社区

领取腾讯云代金券