傳統(tǒng)研發(fā)運(yùn)營模式中，安全位置相對滯后，無法覆蓋研發(fā)階段的安全問題。

　　日前，《研發(fā)運(yùn)營安全白皮書(2020年)》(以下簡稱“白皮書”)在中國信息通信研究院、中國通信標(biāo)準(zhǔn)化協(xié)會聯(lián)合主辦的可信云線上峰會上正式發(fā)布。該白皮書是由中國信息通信研究院牽頭，聯(lián)合騰訊、華為、阿里、京東等諸多知名企業(yè)共同編制的，旨在用系統(tǒng)化、流程化方法梳理軟件應(yīng)用服務(wù)研發(fā)運(yùn)營全生命周期安全及發(fā)展趨勢，幫助從業(yè)者提升對軟件應(yīng)用服務(wù)研發(fā)運(yùn)營安全的理解。

　　安全左移，構(gòu)成新型研發(fā)運(yùn)營安全體系的最初一步

　　白皮書中指出，近年來安全事件頻發(fā)的主要原因，就是軟件應(yīng)用服務(wù)自身存在的代碼安全漏洞被黑客利用攻擊。根據(jù)Verizon 、Forrester 以及Gartner 等全球知名機(jī)構(gòu)、咨詢公司所統(tǒng)計發(fā)布的研究數(shù)據(jù)來看，由程序中的代碼安全漏洞以及權(quán)限設(shè)置機(jī)制等原因引發(fā)的Web應(yīng)用程序威脅漏洞和因代碼應(yīng)用層存在安全漏洞，是外部攻擊和數(shù)據(jù)泄露等安全事件發(fā)生的主要原因。

　　在軟件應(yīng)用服務(wù)已經(jīng)滲透至各行業(yè)領(lǐng)域中的當(dāng)下，傳統(tǒng)研發(fā)運(yùn)營安全模式屬于被動防御性手段，以防病毒、防火墻等為代表的安全功能關(guān)注的都是交付運(yùn)行之后的安全問題，相對滯后的安全手段無法覆蓋研發(fā)階段代碼層面的安全，其安全測試范圍相對有限，且安全漏洞修復(fù)成本也更大。

　　白皮書認(rèn)為，如果要解決代碼所導(dǎo)致的安全問題，就需要考慮將安全左移，從而搭建覆蓋軟件應(yīng)用服務(wù)全生命周期的、新型研發(fā)運(yùn)營安全體系。

　　此外，白皮書還對新型研發(fā)運(yùn)營安全體系的四大特點和七大環(huán)節(jié)進(jìn)行了詳細(xì)介紹，其中四大特點包括：

　　1. 覆蓋范圍更廣，延伸至下線停用階段，覆蓋軟件應(yīng)用服務(wù)全生命周期;

　　2. 更具普適性，抽取關(guān)鍵要素，不依托于任何開發(fā)模式與體系;

　　3. 不止強(qiáng)調(diào)安全工具，同樣注重安全管理，強(qiáng)化人員安全能力;

　　4. 進(jìn)行運(yùn)營安全數(shù)據(jù)反饋，形成安全閉環(huán)，不斷優(yōu)化流程實踐。

　　而七大環(huán)節(jié)則分為軟件應(yīng)用服務(wù)研發(fā)的要求階段、安全需求分析階段到上線后的發(fā)布階段、運(yùn)營階段、停用下線階段等七個階段。

　　傳統(tǒng)研發(fā)運(yùn)營安全模式僅能對發(fā)布、運(yùn)營和停用下線階段進(jìn)行保護(hù)。而在安全左移之后，新型研發(fā)運(yùn)營安全體系就能夠在軟件應(yīng)用服務(wù)設(shè)計早期便引入安全概念，從而讓安全覆蓋軟件應(yīng)用服務(wù)全生命周期，最終實現(xiàn)達(dá)成降低安全問題解決成本、全方面提升服務(wù)應(yīng)用安全和提升人員安全能力的目的。

　　不難看出，安全左移是搭建新型研發(fā)運(yùn)營安全體系的重要前提。

　　研發(fā)運(yùn)營安全體系，需向敏捷化、自動化演進(jìn)

　　一直以來，研發(fā)運(yùn)營安全相關(guān)體系的發(fā)展與開發(fā)模式的變化是密不可分的。隨著近年來云計算的普及，越來越多的企業(yè)開始將業(yè)務(wù),尤其是核心業(yè)務(wù)向云原生的環(huán)境遷移，對軟件開發(fā)的質(zhì)量和效率的要求不斷提高。

　　而DevOps作為一款云原生、API所驅(qū)動的敏捷開發(fā)工具，被云上企業(yè)廣泛應(yīng)用于軟件應(yīng)用服務(wù)開發(fā)和部署的過程中。白皮書認(rèn)為，為適應(yīng)軟件應(yīng)用服務(wù)開發(fā)模式逐步向敏捷化發(fā)展的趨勢，研發(fā)運(yùn)營安全體系也應(yīng)隨之向敏捷化演進(jìn)，能夠?qū)踩ぞ邿o縫集成到開發(fā)過程中的“DevSecOps”開發(fā)框架，將成為未來研發(fā)運(yùn)營安全的關(guān)鍵組成部分。

　　安全專家建議，在構(gòu)建“DevSecOps”框架中的功能時，需要重點考慮風(fēng)險和威脅建模、自定義代碼掃描、開源軟件掃描和追蹤、系統(tǒng)配置漏洞掃描、安全測試的自動化部署等安全功能。同時，用戶使用 DevOps 的目的決定了其對“自動化”和“持續(xù)性”的要求尤為突出，因此在將安全工具集成到開發(fā)過程之中時，也應(yīng)該遵循“自動化”和“透明”的原則。

　　全生命周期安全體系，已在部分領(lǐng)域中成功落地

　　盡管白皮書給出了新型研發(fā)運(yùn)營安全體系的構(gòu)成和實現(xiàn)路徑，但安全左移、自動化和全生命周期安全保護(hù)在應(yīng)用實踐中有著更高的要求。對于這類企業(yè)而言，選擇配套上云+云上原生安全產(chǎn)品組合，同樣不失為另一種解決方案。

　　騰訊安全在7月舉辦的“產(chǎn)業(yè)安全公開課·云原生專場”中，在直播課程中對外分享了騰訊安全云原生安全運(yùn)營體系的構(gòu)建理念，即以云原生為中心，以安全左移、數(shù)據(jù)驅(qū)動及自動化為基本支撐，從而實現(xiàn)云上的全生命周期安全管理。

　　其中，安全左移指的是云原生安全運(yùn)營體系。首先應(yīng)該具備事前感知安全威脅和配置風(fēng)險檢查能力，既以構(gòu)建安全預(yù)防體系的方式提升整體安全水平;而數(shù)據(jù)驅(qū)動則是云原生安全運(yùn)營的基本要求，通過建立云上安全數(shù)據(jù)湖對各安全產(chǎn)品上的數(shù)據(jù)進(jìn)行收集和統(tǒng)一管理;最后，通過云上資產(chǎn)自動化盤點及云上威脅自動化響應(yīng)處置等自動化技術(shù)，對收集到的云上安全問題進(jìn)行自動響應(yīng)和處置，最終構(gòu)建出對安全威脅從感知到檢測再到應(yīng)對處置的全生命周期安全管理體系。

　　目前，騰訊安全以云原生安全運(yùn)營體系為核心所打造的安全產(chǎn)品——騰訊安全運(yùn)營中心累計為政府、金融、運(yùn)營商、醫(yī)療、互聯(lián)網(wǎng)等多個領(lǐng)域提供安全保障。未來，騰訊安全將繼續(xù)探索全生命周期安全在其他產(chǎn)品和領(lǐng)域中的應(yīng)用場景和實現(xiàn)路徑，為增強(qiáng)行業(yè)關(guān)于研發(fā)運(yùn)營安全認(rèn)識、實現(xiàn)安全可信生態(tài)建設(shè)提供助力。