DevSecOps技術(shù)標準解讀

1、DevSecOps技術(shù)標準解讀技術(shù)創(chuàng)新，變革未來DevOps的定義：“開發(fā)（Dev）”和“運維（Ops）”的縮寫，是一組過程、方法與系統(tǒng)的統(tǒng)稱，強調(diào) 業(yè)務人員及IT專業(yè)人員（開發(fā)、測試、運維等）在應用和服務生命周期中的協(xié)作和溝通；強調(diào)整個組織的 合作以及交付和基礎(chǔ)設(shè)施變更的自動化，從而實現(xiàn)持續(xù)集成、持續(xù)部署和持續(xù)交付等的無縫集成。DevSecOps的定義：是將信息安全的框架整合到DevOps的工作流程中，研發(fā)、運營、測試、安全多個部門 緊密協(xié)作，在提升開發(fā)和運營敏捷性的同時，也保障了數(shù)據(jù)和服務的可用性與安全性。什么是DevSecOps？安全概念DevSecOps概念示意圖DevSecOps的由

2、來2012Gartner的報告中首次提出了 “DevOpsSec”這個概念2012年2017在RSA年度大會上“DevSecOps”成為 了熱門詞匯， 它是一種對DevOps的延 展，DevSecOps提出安全是每個人的責 任。2017年2017-至今至今DevOps的落地實踐帶動了DevSecOps的興 起，強調(diào)將信息安全的能力整合到DevOps 的工作流程中，各部門重視安全，提升開 發(fā)和運營敏捷性。傳統(tǒng)開發(fā)模式中，安全介入較晚，且安全部門獨立于 軟件開發(fā)、運維部門。關(guān)于DevSecOps的幾點理解？是一種安全的文化的滲透是制度流程和工具的集合是將安全性和合規(guī)性納入軟 件全生命周期的方法是由

3、學習和實踐驅(qū)動的戰(zhàn)略Yes部署應用程序的能力在規(guī)模和速度上都得到了改善，但安全方面的考慮卻常常被忽略， 更傾向于快速滿足業(yè)務需求。依靠應用程序來保持操作運行，開發(fā)過程中的安全性是上線的最后階段執(zhí)行，應用程 序安全性必須加快以跟上軟件開發(fā)的步伐。DevSecOps生命周期計劃階段定義研發(fā)安全指標，進行威脅 建模，安全工具培訓等編碼階段IDE安全插件方式實現(xiàn)驗證（測試）階段在軟件開發(fā)階段消除這些漏洞可以降 低企業(yè)的信息安全風險，包括 SAST/DAST/IAST,SCA配置階段簽名驗證、完整性校驗和縱深 防御檢測階段RASP、UEBA、網(wǎng)絡(luò)監(jiān)控和滲 透測試響應階段安全編排，基于RASP / WAF

4、的 安全防護、混淆DevSecOps的主要特征是通過在軟件生命周期的各個階段進行自動化，監(jiān)控和應用安全性來提高客 戶成果和使命價值，包括計劃，開發(fā)，構(gòu)建，測試，發(fā)布，交付，部署，操作和監(jiān)控等階段。準生產(chǎn)環(huán)境混沌工程、模糊測試和集成測 試發(fā)布階段軟件簽名，傳輸?shù)冗^程中防篡 改預測階段相關(guān)的脆弱性分析 、IOC情報、 STIX、TAXIIDevOpsSec優(yōu)化 階段解決安全技術(shù)債、事件響應、縱 深防御體系等不斷適配、調(diào)整和 優(yōu)化ReDetect標準背景說明牽頭單位：工信部 中國信息通信研究院（國家智庫，可信云等出品單位）起草單位：中國信息通信研究院、云計算開源產(chǎn)業(yè)聯(lián)盟 、DevOps時代社區(qū)、高效

5、運維社區(qū)、BATJ、中國銀行、招商銀行、平安科技、中國移動、中國聯(lián) 通和華為等目前進展：工信部和聯(lián)合國 ITU-T 立項在研，2018年6月29日發(fā)布全量征求意見稿安全及風險管理標準框架控制總 體風險組織建設(shè)和 人員管理安全工具鏈基礎(chǔ)設(shè)施 管理數(shù)據(jù)管理第三方 管理度量與 反饋改進控制開發(fā)過程風險需求管理設(shè)計管理開發(fā)過程管理控制交付過程風險配置管理構(gòu)建管理測試管理部署與發(fā)布管理控制運營過程風險安全監(jiān)控運營安全應急響應運營反饋研發(fā)運營一體化（DevOps）能力成熟度模型 第6部分：安全及風險管理，研發(fā)運營一體化（DevOps）能力成熟度模型 第6部分：安全及風險管理標準是一種全新的安全理念與模式，

6、強調(diào)安全是每 個人的責任，指將安全內(nèi)嵌到應用的全生命周期，在安全風險可控的前提下，幫助企業(yè)提升IT效能，更好地實現(xiàn)研發(fā)運營一體化 框架劃分依據(jù)DevOps全生命周期分為：控制總體風險、控制開發(fā)過程風險、控制交付過程風險和控制運營過程風險四大部分。人人為安全負責 安全左移 全流程的安全內(nèi)建 安全閉環(huán)理、控制總體風險控制總體風險：在DevOps模式下，安全內(nèi)建于開發(fā)、交付、運營過程中，總體風險包括三個過程中的共性安全要 求，包括：組織建設(shè)和人員管理、安全工具鏈、基礎(chǔ)設(shè)施管理、第三方管理、數(shù)據(jù)管理、度量與反饋改進。交付過程開發(fā)過程運營過程組織建設(shè)與人員管理：在DevSecOps全 過程中，建立對應的

7、組織負責不同的安全 職責，注重安全文化建設(shè)度量與反饋改進：通 過對研發(fā)、交付、運營 過程的安全風險進行度 量、展示并反饋給團隊 處理和改進第三方管理第三方機構(gòu)第三方人員第三方軟件第三方服務合作/接入 的安全風險控制基礎(chǔ)設(shè)施管理：要求基礎(chǔ)設(shè)施在DevOps全生命周期中，提供安全、可靠、 穩(wěn)定、可持續(xù)的基礎(chǔ)環(huán)境以及支撐服務的平臺數(shù)據(jù)管理：在DevOps過程中對涉及的各類數(shù)據(jù)進行安全管理，利用制度、 流程及工具化等手段保障數(shù)據(jù)的安全性安全工具鏈：要求安全左移，將漏洞掃 描、應用安全測試、開源合規(guī)、威脅建模、自動化漏洞掃描平臺等安全工具嵌入 DevOps全生命周期控制開發(fā)過程風險控制開發(fā)過程風險：為降

8、低后續(xù)交付、運營中的安全風險，保障研發(fā)運營一體化的整體安全，必須提前實施安 全風險管理工作。在應用的需求階段就進行安全風險控制，同時關(guān)注架構(gòu)與設(shè)計的安全風險，并在開發(fā)過程中 實施安全風險管理。將安全工作左移，在應用的需求階 段即進行安全風險控制，定義安全 需求并采取有效的措施和手段，從 而控制開發(fā)過程的安全風險。需求 管理關(guān)注開發(fā)過程中架構(gòu)與設(shè)計的安全 風險。通過攻擊面分析、威脅建模 等手段，識別應用潛在的安全風險 和威脅，制定措施消減威脅、規(guī)避 風險，確保產(chǎn)品的安全性。關(guān)注編碼過程的安全管理，以安全 編碼方式實現(xiàn)功能。設(shè)計 管理開發(fā) 過程 管理安全需求 定義安全需求 驗證安全需求 管理安全需

9、求包括：應用的安全 功能和功能的安全性兩方面。對安全需求測試用例的編寫、 驗證與管理，提出相關(guān)要求。安全需求基線持續(xù)更新的安 全需求標準庫與管理平臺自 動化、智能化的需求管理平臺安全設(shè)計 規(guī)范威脅 建模安全架構(gòu)安全設(shè)計 審核方案010203安全編碼源代碼安全檢測開源組件安全風險與合規(guī)檢測控制交付過程風險：安全交付是將安全內(nèi)建到交付過程中，是實現(xiàn)安全運營的前提條件。通過將配置管理、 構(gòu)建管理、測試管理及部署與發(fā)布管理等交付過程納入安全風險管理，使得系統(tǒng)、產(chǎn)品、服務可以在安全完 整的最佳狀態(tài)下交付。是保障交付過程正確性的前提， 主要包括對源代碼及相關(guān)腳本、 依賴組件、發(fā)布制品、應用配 置、環(huán)境配置

10、等的安全管理。安全的構(gòu)建管理可提升應用的 發(fā)布制品安全性，可靠可重復 的構(gòu)建過程有利于安全問題的 避免和版本變更追溯。在應用發(fā)布前，通過安全測試 發(fā)現(xiàn)并排除應用的安全缺陷， 提高安全質(zhì)量。安全的部署與發(fā)布關(guān)注安全的流 程與規(guī)范、過程中的安全控制與 低風險的發(fā)布機制。配置管理構(gòu)建管理測試管理部署與發(fā)布 管理B代碼保護機制C防篡改機制D軟件資產(chǎn)安全風險庫A代碼評審構(gòu)建腳本構(gòu)建 環(huán)境構(gòu)建工 具開源組件 安全掃描容器安全 掃描 03黑盒安全 測試04靜態(tài)代碼 安全掃描050102安全流程與規(guī)范安全控制方式嵌入DevOps流水線安全質(zhì)量門限低風險發(fā)布機制控制交付過程風險控制運營過程風險：關(guān)注將安全內(nèi)建于

11、運營過程中，通過監(jiān)控、運營、響應、反饋等實現(xiàn)技術(shù)運營過程中安全 風險的閉環(huán)管理，包括：安全監(jiān)控、運營安全、應急響應和運營反饋。1342安全監(jiān)控對運營過程中的安全進行監(jiān)控， 覆蓋業(yè)務場景與基 礎(chǔ)運營環(huán)境， 如： 病毒攻擊、DDos 攻擊、暴力破 解、注入攻擊、接口濫用、Web欺詐等運營反饋關(guān)注運營過程中安全的動態(tài)性、持續(xù)性 和整體性， 通過對安全漏洞、缺陷、事 件等的分析與反饋， 實現(xiàn)從運營到開發(fā) 過程的Dev S ec O ps 閉環(huán)管理。運營安全應用在運營過程中實施安全控制， 識別、 評估漏洞與缺陷， 并降低或消除風險。 也包括對運營過程中配置管理、變更管 理等的安全管理。應急響應針對運營過程中的安全事件、風險進行 響應、跟蹤和處置， 及時降低風險和影 響， 保障業(yè)務連續(xù)性。風險分 類分級應急體 系及演 練應急響 應度量 機制應急響 應復盤 機制BCAD日 志 分 析安 全 審 計漏 洞 發(fā) 現(xiàn) 與 修 復漏 洞 情 報 收 集工 具 安 全 加 固控制運營過程風險關(guān)于開發(fā)運維相關(guān)工作開發(fā)運維類行業(yè)標準制定交流研討、輸出軟科研成果標準推廣標準符合性驗證和評測云計算運維工作組可信云服務專項評估 第1部分 面向云服務提供商的運維管理指南云服務運維 管理流程指 導云服務運維管 理系統(tǒng)功能完 備性云服務運維管 理系統(tǒng)