《研發運營安全白皮書(2020年)》正式發布 深度剖析軟件應用服務全生命周期可信
責編:gltian |2020-07-31 11:12:277月29日,由中國信息通信研究院(以下簡稱“中國信通院”)、中國通信標準化協會聯合主辦的可信云線上峰會在“云端”開幕。會上發布了《研發運營安全白皮書(2020年)》。由中國信通院牽頭,聯合華為、騰訊、阿里、浪潮、京東、金山、華大基因、奇安信、默安科技、新思科技等諸多知名企業,用系統化、流程化方法梳理軟件應用服務研發運營全生命周期安全及發展趨勢。不僅有助從業者提升對軟件應用服務研發運營安全的理解,對于促進行業共識及合作也具有積極的指導意義。
安全左移,全生命周期提升軟件應用服務安全性
《研發運營安全白皮書(2020年)》開篇即指出研發運營安全指結合人員管理體系、制度流程,在軟件應用服務設計早期便引入安全,進行安全左移,覆蓋要求階段、安全需求分析階段、設計階段、研發階段、驗證階段、發布階段、運營階段、停用下線階段的全生命周期,搭建安全體系,降低安全問題解決成本,全方面提升服務應用安全,提升人員安全能力。
全球安全事件頻發,代碼程序漏洞是關鍵誘因之一。根據Verizon以及Forrester等機構發布的研究數據顯示,外部攻擊、數據泄露等安全事件發生的根本原因超過30%與軟件漏洞被攻擊利用以及針對Web應用程序安全漏洞有關。
傳統研發運營安全模式中,安全介入相對滯后。傳統研發運營安全,針對軟件應用服務自身的安全漏洞檢測修復,通常是在系統搭建或者功能模塊構建完成或者服務上線運營之后介入,進行安全掃描,威脅漏洞修復。當前的大多數安全手段,例如防病毒、防火墻、入侵檢測等,都是關注交付運行之后的安全問題,屬于被動防御性手段。
安全左移有助于幫助企業削減成本。根據美國國家標準與技術研究所(NIST)、IBM、Fortify等統計數據顯示,在軟件需求分析階段就開始避免漏洞的成本比發布后修復成本低50~100倍。
各方關注日趨提升,研發安全運營市場持續擴大
全球主要國家以及區域性國際組織開始以戰略、規范、指南等多種形式,統籌規劃研發運營安全問題;國際標準組織及第三方非盈利組織也在積極推進研發運營安全共識;企業層面,全球知名互聯網廠商也已經開始探索研發運營安全實踐。
在白皮書的第二部分,不僅有諸多國際權威機構發布的市場數據,還包括各國政府,行業組織制定的相關法規和標準,以及全球知名互聯網公司相關研發運營安全實踐的介紹,對于從業人員了解行業現狀具有很強的現實意義。
表1 重點重點國家及區域性國際組織研發運營安全相關舉措
表2 國際標準組織及第三方非盈利組織研發運營安全相關工作
表3 企業研發運營安全具體實踐
四大特點,七大環節詳解研發運營安全體系
中國信通院牽頭,聯合華為、騰訊、阿里、浪潮、京東、金山、華大基因、奇安信、默安科技、新思科技等諸多知名企業討論建立了一套針對研發運營的安全體系。
圖片來源:中國信息通信研究院
表3 企業研發運營安全具體實踐
本白皮書除了宏觀層面和市場環境之外,還從細節入手,詳細介紹了該研發運營安全體系,概要總結包括四大特點,七大環節。
四大特點
(1)覆蓋范圍更廣,延伸至下線停用階段,覆蓋軟件應用服務全生命周期;
(2)更具普適性,抽取關鍵要素,不依托于任何開發模式與體系;
(3)不止強調安全工具,同樣注重安全管理,強化人員安全能力;
(4)進行運營安全數據反饋,形成安全閉環,不斷優化流程實踐。
七大環節
(1)管理制度;建立合適的人員組織架構與制度流程,保證研發運營流程安全的具體實施,針對人員進行安全培訓,增強安全意識,進行相應考核管理;
(2)安全要求,前期明確安全要求,如設立質量安全門限要求,進行安全審計,對于第三方組件進行安全管理等;
(3)安全需求分析與設計,在研發階段之前,進行安全方面的需求分析與設計,從合規要求以及安全功能需求方面考慮,進行威脅建模,確定安全需求與設計;
(4)安全研發驗證,搭配安全工具確保編碼實際安全,同時對于開源及第三方組件進行風險管理,在測試過程中,針對安全、隱私問題進行全面、深度的測試;
(5)安全發布,服務上線發布前進行完整性審查,制定事先響應計劃,確保發布安全;
(6)運營安全,上線運營階段,進行安全監控與安全運營,通過滲透測試等手段進行風險評估,針對突發事件進行應急響應,并及時復盤,形成處理知識庫,匯總運營階段的安全問題,形成反饋機制,優化研發運營全流程;
(7)停用下線,制定服務下線方案與計劃,明確隱私保護合規方案,確保數據留存符合最小化原則。
趨勢詳解和案例幫助企業深刻理解研發運營安全可信生態
白皮書根據對行業及市場需求的深刻洞察,結合參與企業實踐整理了安全體系在當下及未來一段時間內的主要發展趨勢。包括,(1)研發運營安全管理體系將更加完善;(2)研發運營安全體系將會推動安全技術、工具的進一步發展;(3)研發運營安全將增強安全可信生態布局,對于供應鏈安全要求也將會越來越高。
除了審慎的分析和完善的數據之外,為了能夠讓讀者更切實感受到研發運營安全體系的價值所在,白皮書最后的附錄部分還從研發運營安全痛點、企業具體落地實現、最終效果描述三個方面呈現了國內多家知名企業,包括華為、騰訊、華大基因等研發運營安全的優秀實踐案例,以便為讀者提供參考。該白皮書的發布對于增強行業關于研發運營安全的認識,以及促進各方合作,并最終實現安全可信生態建設具有積極意義。
標準體系建設與評估相關工作
目前研發運營安全相關的行業標準《面向云計算的可信研發運營安全能力成熟度模型》與《研發運營安全解決方案整體框架》已成功在中國通信標準化協會(CCSA)中立項,標準的制定也受到了業界的廣泛支持,中國信通院、華為、騰訊、阿里、京東云、金山云、奇安信、新思科技、默安科技、華大基因、普元信息、烽火、華云、新華三等企業參與標準的制定。
首批評估工作即將啟動
針對相關行業標準的評估也在同步推進過程中:首批面向云計算的可信研發運營安全能力成熟度評估即將于2020年下半年啟動;預計于2021年上半年啟動首批靜態應用程序安全測試(SAST)解決方案的評估。
具體評估細節請聯系:
吳江偉 ?wujiangwei@caic.ac.cn