此外��,白皮書(shū)還對(duì)新型研發(fā)運(yùn)營(yíng)安全體系的四大特點(diǎn)和七大環(huán)節(jié)進(jìn)行了詳細(xì)介紹�,其中四大特點(diǎn)包括:
1. 覆蓋范圍更廣�,延伸至下線停用階段,覆蓋軟件應(yīng)用服務(wù)全生命周期��;
2. 更具普適性,抽取關(guān)鍵要素�����,不依托于任何開(kāi)發(fā)模式與體系�����;
3. 不止強(qiáng)調(diào)安全工具�,同樣注重安全管理,強(qiáng)化人員安全能力�����;
4. 進(jìn)行運(yùn)營(yíng)安全數(shù)據(jù)反饋�����,形成安全閉環(huán)���,不斷優(yōu)化流程實(shí)踐���。
而七大環(huán)節(jié)則分為軟件應(yīng)用服務(wù)研發(fā)的要求階段、安全需求分析階段到上線后的發(fā)布階段��、運(yùn)營(yíng)階段、停用下線階段等七個(gè)階段�。
傳統(tǒng)研發(fā)運(yùn)營(yíng)安全模式僅能對(duì)發(fā)布、運(yùn)營(yíng)和停用下線階段進(jìn)行保護(hù)�。而在安全左移之后,新型研發(fā)運(yùn)營(yíng)安全體系就能夠在軟件應(yīng)用服務(wù)設(shè)計(jì)早期便引入安全概念����,從而讓安全覆蓋軟件應(yīng)用服務(wù)全生命周期,最終實(shí)現(xiàn)達(dá)成降低安全問(wèn)題解決成本�、全方面提升服務(wù)應(yīng)用安全和提升人員安全能力的目的。
不難看出���,安全左移是搭建新型研發(fā)運(yùn)營(yíng)安全體系的重要前提����。
研發(fā)運(yùn)營(yíng)安全體系����,需向敏捷化、自動(dòng)化演進(jìn)
一直以來(lái)��,研發(fā)運(yùn)營(yíng)安全相關(guān)體系的發(fā)展與開(kāi)發(fā)模式的變化是密不可分的���。隨著近年來(lái)云計(jì)算的普及��,越來(lái)越多的企業(yè)開(kāi)始將業(yè)務(wù),尤其是核心業(yè)務(wù)向云原生的環(huán)境遷移����,對(duì)軟件開(kāi)發(fā)的質(zhì)量和效率的要求不斷提高�。
而DevOps作為一款云原生、API所驅(qū)動(dòng)的敏捷開(kāi)發(fā)工具��,被云上企業(yè)廣泛應(yīng)用于軟件應(yīng)用服務(wù)開(kāi)發(fā)和部署的過(guò)程中�。白皮書(shū)認(rèn)為,為適應(yīng)軟件應(yīng)用服務(wù)開(kāi)發(fā)模式逐步向敏捷化發(fā)展的趨勢(shì)�����,研發(fā)運(yùn)營(yíng)安全體系也應(yīng)隨之向敏捷化演進(jìn)�����,能夠?qū)踩ぞ邿o(wú)縫集成到開(kāi)發(fā)過(guò)程中的“DevSecOps”開(kāi)發(fā)框架�����,將成為未來(lái)研發(fā)運(yùn)營(yíng)安全的關(guān)鍵組成部分�����。
安全專家建議,在構(gòu)建“DevSecOps”框架中的功能時(shí)�,需要重點(diǎn)考慮風(fēng)險(xiǎn)和威脅建模、自定義代碼掃描��、開(kāi)源軟件掃描和追蹤�����、系統(tǒng)配置漏洞掃描����、安全測(cè)試的自動(dòng)化部署等安全功能。同時(shí)����,用戶使用 DevOps 的目的決定了其對(duì)“自動(dòng)化”和“持續(xù)性”的要求尤為突出,因此在將安全工具集成到開(kāi)發(fā)過(guò)程之中時(shí)�����,也應(yīng)該遵循“自動(dòng)化”和“透明”的原則�。
全生命周期安全體系,已在部分領(lǐng)域中成功落地
盡管白皮書(shū)給出了新型研發(fā)運(yùn)營(yíng)安全體系的構(gòu)成和實(shí)現(xiàn)路徑��,但安全左移、自動(dòng)化和全生命周期安全保護(hù)在應(yīng)用實(shí)踐中有著更高的要求��。對(duì)于這類企業(yè)而言���,選擇配套上云+云上原生安全產(chǎn)品組合,同樣不失為另一種解決方案�。
騰訊安全在7月舉辦的“產(chǎn)業(yè)安全公開(kāi)課·云原生專場(chǎng)”中,在直播課程中對(duì)外分享了騰訊安全云原生安全運(yùn)營(yíng)體系的構(gòu)建理念�,即以云原生為中心,以安全左移�����、數(shù)據(jù)驅(qū)動(dòng)及自動(dòng)化為基本支撐���,從而實(shí)現(xiàn)云上的全生命周期安全管理�。
其中�����,安全左移指的是云原生安全運(yùn)營(yíng)體系�。首先應(yīng)該具備事前感知安全威脅和配置風(fēng)險(xiǎn)檢查能力,既以構(gòu)建安全預(yù)防體系的方式提升整體安全水平�����;而數(shù)據(jù)驅(qū)動(dòng)則是云原生安全運(yùn)營(yíng)的基本要求,通過(guò)建立云上安全數(shù)據(jù)湖對(duì)各安全產(chǎn)品上的數(shù)據(jù)進(jìn)行收集和統(tǒng)一管理�;最后,通過(guò)云上資產(chǎn)自動(dòng)化盤(pán)點(diǎn)及云上威脅自動(dòng)化響應(yīng)處置等自動(dòng)化技術(shù)�����,對(duì)收集到的云上安全問(wèn)題進(jìn)行自動(dòng)響應(yīng)和處置�����,最終構(gòu)建出對(duì)安全威脅從感知到檢測(cè)再到應(yīng)對(duì)處置的全生命周期安全管理體系���。
目前�,騰訊安全以云原生安全運(yùn)營(yíng)體系為核心所打造的安全產(chǎn)品——騰訊安全運(yùn)營(yíng)中心累計(jì)為政府���、金融��、運(yùn)營(yíng)商�����、醫(yī)療����、互聯(lián)網(wǎng)等多個(gè)領(lǐng)域提供安全保障。未來(lái)���,騰訊安全將繼續(xù)探索全生命周期安全在其他產(chǎn)品和領(lǐng)域中的應(yīng)用場(chǎng)景和實(shí)現(xiàn)路徑,為增強(qiáng)行業(yè)關(guān)于研發(fā)運(yùn)營(yíng)安全認(rèn)識(shí)��、實(shí)現(xiàn)安全可信生態(tài)建設(shè)提供助力���。
