傳統(tǒng)研發(fā)運(yùn)營(yíng)模式中，安全位置相對(duì)滯后，無法覆蓋研發(fā)階段的安全問題。

　　日前，《研發(fā)運(yùn)營(yíng)安全白皮書(2020年)》(以下簡(jiǎn)稱“白皮書”)在中國(guó)信息通信研究院、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)聯(lián)合主辦的可信云線上峰會(huì)上正式發(fā)布。該白皮書是由中國(guó)信息通信研究院牽頭，聯(lián)合騰訊、華為、阿里、京東等諸多知名企業(yè)共同編制的，旨在用系統(tǒng)化、流程化方法梳理軟件應(yīng)用服務(wù)研發(fā)運(yùn)營(yíng)全生命周期安全及發(fā)展趨勢(shì)，幫助從業(yè)者提升對(duì)軟件應(yīng)用服務(wù)研發(fā)運(yùn)營(yíng)安全的理解。

　　安全左移，構(gòu)成新型研發(fā)運(yùn)營(yíng)安全體系的最初一步

　　白皮書中指出，近年來安全事件頻發(fā)的主要原因，就是軟件應(yīng)用服務(wù)自身存在的代碼安全漏洞被黑客利用攻擊。根據(jù)Verizon 、Forrester 以及Gartner 等全球知名機(jī)構(gòu)、咨詢公司所統(tǒng)計(jì)發(fā)布的研究數(shù)據(jù)來看，由程序中的代碼安全漏洞以及權(quán)限設(shè)置機(jī)制等原因引發(fā)的Web應(yīng)用程序威脅漏洞和因代碼應(yīng)用層存在安全漏洞，是外部攻擊和數(shù)據(jù)泄露等安全事件發(fā)生的主要原因。

　　在軟件應(yīng)用服務(wù)已經(jīng)滲透至各行業(yè)領(lǐng)域中的當(dāng)下，傳統(tǒng)研發(fā)運(yùn)營(yíng)安全模式屬于被動(dòng)防御性手段，以防病毒、防火墻等為代表的安全功能關(guān)注的都是交付運(yùn)行之后的安全問題，相對(duì)滯后的安全手段無法覆蓋研發(fā)階段代碼層面的安全，其安全測(cè)試范圍相對(duì)有限，且安全漏洞修復(fù)成本也更大。

　　白皮書認(rèn)為，如果要解決代碼所導(dǎo)致的安全問題，就需要考慮將安全左移，從而搭建覆蓋軟件應(yīng)用服務(wù)全生命周期的、新型研發(fā)運(yùn)營(yíng)安全體系。

　　此外，白皮書還對(duì)新型研發(fā)運(yùn)營(yíng)安全體系的四大特點(diǎn)和七大環(huán)節(jié)進(jìn)行了詳細(xì)介紹，其中四大特點(diǎn)包括：

　　1. 覆蓋范圍更廣，延伸至下線停用階段，覆蓋軟件應(yīng)用服務(wù)全生命周期;

　　2. 更具普適性，抽取關(guān)鍵要素，不依托于任何開發(fā)模式與體系;

　　3. 不止強(qiáng)調(diào)安全工具，同樣注重安全管理，強(qiáng)化人員安全能力;

　　4. 進(jìn)行運(yùn)營(yíng)安全數(shù)據(jù)反饋，形成安全閉環(huán)，不斷優(yōu)化流程實(shí)踐。

　　而七大環(huán)節(jié)則分為軟件應(yīng)用服務(wù)研發(fā)的要求階段、安全需求分析階段到上線后的發(fā)布階段、運(yùn)營(yíng)階段、停用下線階段等七個(gè)階段。

　　傳統(tǒng)研發(fā)運(yùn)營(yíng)安全模式僅能對(duì)發(fā)布、運(yùn)營(yíng)和停用下線階段進(jìn)行保護(hù)。而在安全左移之后，新型研發(fā)運(yùn)營(yíng)安全體系就能夠在軟件應(yīng)用服務(wù)設(shè)計(jì)早期便引入安全概念，從而讓安全覆蓋軟件應(yīng)用服務(wù)全生命周期，最終實(shí)現(xiàn)達(dá)成降低安全問題解決成本、全方面提升服務(wù)應(yīng)用安全和提升人員安全能力的目的。

　　不難看出，安全左移是搭建新型研發(fā)運(yùn)營(yíng)安全體系的重要前提。

　　研發(fā)運(yùn)營(yíng)安全體系，需向敏捷化、自動(dòng)化演進(jìn)

　　一直以來，研發(fā)運(yùn)營(yíng)安全相關(guān)體系的發(fā)展與開發(fā)模式的變化是密不可分的。隨著近年來云計(jì)算的普及，越來越多的企業(yè)開始將業(yè)務(wù),尤其是核心業(yè)務(wù)向云原生的環(huán)境遷移，對(duì)軟件開發(fā)的質(zhì)量和效率的要求不斷提高。

　　而DevOps作為一款云原生、API所驅(qū)動(dòng)的敏捷開發(fā)工具，被云上企業(yè)廣泛應(yīng)用于軟件應(yīng)用服務(wù)開發(fā)和部署的過程中。白皮書認(rèn)為，為適應(yīng)軟件應(yīng)用服務(wù)開發(fā)模式逐步向敏捷化發(fā)展的趨勢(shì)，研發(fā)運(yùn)營(yíng)安全體系也應(yīng)隨之向敏捷化演進(jìn)，能夠?qū)踩ぞ邿o縫集成到開發(fā)過程中的“DevSecOps”開發(fā)框架，將成為未來研發(fā)運(yùn)營(yíng)安全的關(guān)鍵組成部分。

　　安全專家建議，在構(gòu)建“DevSecOps”框架中的功能時(shí)，需要重點(diǎn)考慮風(fēng)險(xiǎn)和威脅建模、自定義代碼掃描、開源軟件掃描和追蹤、系統(tǒng)配置漏洞掃描、安全測(cè)試的自動(dòng)化部署等安全功能。同時(shí)，用戶使用 DevOps 的目的決定了其對(duì)“自動(dòng)化”和“持續(xù)性”的要求尤為突出，因此在將安全工具集成到開發(fā)過程之中時(shí)，也應(yīng)該遵循“自動(dòng)化”和“透明”的原則。

　　全生命周期安全體系，已在部分領(lǐng)域中成功落地

　　盡管白皮書給出了新型研發(fā)運(yùn)營(yíng)安全體系的構(gòu)成和實(shí)現(xiàn)路徑，但安全左移、自動(dòng)化和全生命周期安全保護(hù)在應(yīng)用實(shí)踐中有著更高的要求。對(duì)于這類企業(yè)而言，選擇配套上云+云上原生安全產(chǎn)品組合，同樣不失為另一種解決方案。

　　騰訊安全在7月舉辦的“產(chǎn)業(yè)安全公開課·云原生專場(chǎng)”中，在直播課程中對(duì)外分享了騰訊安全云原生安全運(yùn)營(yíng)體系的構(gòu)建理念，即以云原生為中心，以安全左移、數(shù)據(jù)驅(qū)動(dòng)及自動(dòng)化為基本支撐，從而實(shí)現(xiàn)云上的全生命周期安全管理。

　　其中，安全左移指的是云原生安全運(yùn)營(yíng)體系。首先應(yīng)該具備事前感知安全威脅和配置風(fēng)險(xiǎn)檢查能力，既以構(gòu)建安全預(yù)防體系的方式提升整體安全水平;而數(shù)據(jù)驅(qū)動(dòng)則是云原生安全運(yùn)營(yíng)的基本要求，通過建立云上安全數(shù)據(jù)湖對(duì)各安全產(chǎn)品上的數(shù)據(jù)進(jìn)行收集和統(tǒng)一管理;最后，通過云上資產(chǎn)自動(dòng)化盤點(diǎn)及云上威脅自動(dòng)化響應(yīng)處置等自動(dòng)化技術(shù)，對(duì)收集到的云上安全問題進(jìn)行自動(dòng)響應(yīng)和處置，最終構(gòu)建出對(duì)安全威脅從感知到檢測(cè)再到應(yīng)對(duì)處置的全生命周期安全管理體系。

　　目前，騰訊安全以云原生安全運(yùn)營(yíng)體系為核心所打造的安全產(chǎn)品——騰訊安全運(yùn)營(yíng)中心累計(jì)為政府、金融、運(yùn)營(yíng)商、醫(yī)療、互聯(lián)網(wǎng)等多個(gè)領(lǐng)域提供安全保障。未來，騰訊安全將繼續(xù)探索全生命周期安全在其他產(chǎn)品和領(lǐng)域中的應(yīng)用場(chǎng)景和實(shí)現(xiàn)路徑，為增強(qiáng)行業(yè)關(guān)于研發(fā)運(yùn)營(yíng)安全認(rèn)識(shí)、實(shí)現(xiàn)安全可信生態(tài)建設(shè)提供助力。