暖春盛典 | DevSecOps应用与技术专场成功举办
作者: 日期:2022年03月14日 阅:9,083

DevSecOps作为软件开发的一种全新的安全管理模式,它的核心理念为:安全是整个团队所有成员的责任,需要贯穿整个业务生命周期的每一个环节。自2012年概念被Gartner首次提出后,DevSecOps越来越受到重视,也是一种必然趋势。

2022年3月3日,DevSecOps应用与技术专场正是在万众瞩目下于上海盛大举行。本次专场的出品人子芽,是国内DevSecOps敏捷安全的领导者——悬镜安全的创始人兼CEO;主持人是来自第三方权威调研机构数世咨询的创始人兼总经理李少鹏。会上,来自中国信通院、中国电信、腾讯、美团、CODING、平安付、小佑科技等多位专家基于自身的研究或业务,围绕DevSecOps的技术发展和落地实践,进行了主题演讲和圆桌论坛,精彩纷呈。

领导致辞

DevSecOps面临新发展、新趋势和新挑战

中国信息通信研究院云计算与大数据研究所治理与审计部主任 杨玲玲

杨玲玲在开场致词中提到,数字经济时代,企业的数字化转型已经成为企业发展的重要驱动力之一,2022年作为 “十四五”开局之年,国家正在推进“加快数字化发展,建设数字中国”的伟大实践。无论是传统行业企业的数字化转型还是互联网数字化内生需求,都需要研发运营模式向敏态发展。

她所在的信通院云大所治理与审计部,正致力于企业研发运营转型标准体系的建设与推广,并且发挥平台优势,积极将DevOps标准核心内容输出到国际。在2020年国际电信联盟 ITU全会上,由中国信通院主导的首个DevOps国际标准获得了全会通过,成功获批。杨玲玲分享道,整体的评测活动从18年开始,有一个重要的变化趋势:企业对于安全及风险的管理也就是DevSecOps越来越重视。

她同时也指出,敏态下安全能力体系的建设不止要依赖于管理,更需要技术的加持、技术的驱动。中国信通院将继续完善DevSecOps、应用安全等领域的标准化体系建设工作,同时高质量地输出产业报告、白皮书等研究成果。

主题演讲

新一代代码疫苗技术进化之路

悬镜安全创始人兼CEO 子芽

“如何才能有效地保障整个软件供应链的安全?”

“如何才能持续地验证现有防御体系的有效性,进而更好地保障业务安全?”

“如何搭建积极防御体系,实现应用的出厂自免疫?”

子芽开场三问,直指DevSecOps软件供应链的三大安全痛点——“看不清”“查不到”“防不住”,引人深思。在他看来,现代软件有四大安全风险面:Web通用漏洞、业务逻辑漏洞、开源成分缺陷及漏洞和异常行为代码。

如何综合治理这些风险?子芽分享了悬镜DevSecOps最佳解决方案——新一代代码疫苗技术:如同给软件应用打上疫苗,让它从内部对各类威胁形成自免疫。

代码疫苗技术有两个核心:基于单探针插桩的IAST技术和基于单探针插桩的RASP技术

IAST技术提供的交互式安全测试能力、API深度挖掘分析能力、自适应出厂免疫和敏感数据的动态追踪,都是代码疫苗技术非常擅长的领域。子芽提到,IAST技术有个非常大的优点,就是它既可以解决敏捷时代DevOps环境下的增量问题,也可以解决传统的SDL环境下的存量问题。

RASP技术主要是针对异常行为操作,特别是一些关键操作。在软件应用运行时,它会时刻精准且低消耗地捕捉异常行为,并进行实时的阻断。子芽表示,很多新兴技术只是解决了他一开头提到的“看不清”问题,而“最后一公里”的积极防御,是RASP技术所擅长的。

子芽在演讲中一再表示,一个完善的DevSecOps体系,不应该是先进技术的简单堆叠,而是要把相关技术进行一个深度的自动化的关联分析,形成解决方案,成为一个有效的闭环,在一个新兴的敏态场景下,实现漏洞的发现、验证、分发、修复一体化和自动化。悬镜推出的基于代码疫苗技术的“DevSecOps智适应威胁管理体系”就是最佳诠释与实践。

基于开源治理的PaaS组件安全体系建设

中国电信上海研究院安全专家 游耀东

众所周知,现代软件都是组装的,其中有78%到92%的成分是第三方的开源框架和库,开源是大势所趋。但是如何确保这些开源组件的来源可靠?如何对开源组件进行安全检测?如何快速应对开源威胁?这就涉及开源治理。

关于开源治理,游耀东分享了中国电信在PaaS(平台及服务)平台上的经验。中国电信的PaaS平台对接总部、31省公司和其他专业公司,开源组件实例超过了一万个。面对如此庞大的规模,如何去治理?

游耀东表示,最重要的是搜集整理开源组件的威胁情报,从而第一时间清楚哪些开源组件是存在问题的。其次,在开发侧,他们重点引入了SCA(软件成分分析)技术工具,确保开源组件的安全性,同时在软件功能测试时可以检测是否存在漏洞风险。此外,在开发团队管控方面,他们建立并实践了DevSecOps管理体系。

游耀东最后强调,风险检测和修复时要交叉使用各类技术,充分利用整个工具链,充分贯彻DevSecOps的理念,这样才能发挥开源威胁治理的真正作用。同时他也提了个建议:将开源威胁治理嵌入自身已有的安全体系或者平台中,是一种最快的实践方式。

腾讯云DevSecOps与开源治理探索

腾讯云产品安全负责人、腾讯安全云鼎实验室安全总监 张祖优

腾讯云是腾讯内部最早实践DevOps研发运维模式的团队,但是后来他们发现随着漏洞收敛,漏洞修复工作在开发运维过程中进行得越早,其成本越低,自然而然,安全的滞后性成了DevOps的掣肘,所以实践DevSecOps模式势在必行。

张祖优认为,DevSecOps体系落地有四个关键点:

  1. 构建DevSecOps所需要的安全工具链;
  2. 在CI/CD流程中嵌入自动化的安全检查动作;
  3. SAST、DAST、IAST、SCA 等安全自动化测试与分析检查;
  4. 容器安全、API安全、第三方组件安全。

起初,他们有多个DevOps平台且不统一,于是选择将安全能力去适配各个平台,再使用统一的安全运营平台整合报警、度量等工作。

随后,他们建立了统一的DevOps平台,便转变了思路,选择在统一平台的各个环节嵌入“安全”,比如在代码分析、代码管理环节嵌入SAST、SCA、敏感信息检查,在自动化测试环节嵌入DAST和IAST,比如洞犀、悬镜的灵脉IAST等,从而逐步建立一套更加健全的DevSecOps体系。

张祖优表示,除了DevSecOps三要素中流程和技术的建立,他还十分关心第三个要素人和文化的培养,即让团队每个人参与到安全,为安全负责,达成安全共识和认知。

美团软件成分安全分析(SCA)能力的建设与演进

美团高级信息安全工程师 李中文

软件研发流程中,将开源组件引入的同时也伴随着组件漏洞、供应链攻击、组件过维护期等风险。为了应对这些风险,美团决定推进SCA(软件成分分析)能力的建设。总共分了三步走,第一步是确认运营的流程以及风险收敛的手段。第二步,将风险收敛的手段进行拆分,分为人工操作和自动化操作,将自动化操作部分的工作流标准化。第三步就是偏流程性质的工作了。

未来,美团SCA技术会如何发展?李中文称,第一,持续增强资产与风险的透视能力和发现能力。第二,提高风险信息的主动识别能力。第三,提升软件构建的安全基线能力。

分享的最后,基于美团自身情况,李中文给出了SCA能力建设的四个注意点:

  1. 建立正反向数据对账机制,保证资产数据的完整性和可用性;
  2. 建立数据链路检查机制,保障数据链路可靠性;
  3. 风险信息获取前置,提高风险信息获取质量;
  4. 供应链安全四要素:恶意投毒、高危漏洞、维护状态、安全基线。

报告发布

《2022DevSecOps行业洞察报告》

现场,悬镜安全发布了《2022 DevSecOps行业洞察报告》。悬镜安全COO董毅对此报告进行了全面解读。

本次报告在悬镜于上届CIS大会发布的《2020 DevSecOps行业洞察报告》的基础上做了非常多的内容优化,将内容进行了多维度的迭代。

报告分为调查篇和洞见篇。其中调查篇的内容是对收集的1639份有效问卷的数据进行分析后的结果展现。从调查结果来看,相较于2020年,受访者(开发和运维人员为主)对DevSecOps的了解程度有了明显提升,但还是低于DevOps,而且亲身实践DevSecOps的比例只有11%。

悬镜安全COO 董毅

有个数据很引人注目,就是有63%的受访者确认在过去一年发生过信息安全事件,这一数据在2020年只有30%。对此,董毅认为大概有两个原因:

  1. 官方数据表明,外部的攻击威胁确实逐年在增多;
  2. 企业或者组织在安全方面的投入增多,对安全事件的发现能力在增强,上报渠道越来越畅通。

在他看来,总体上这还是可喜的现象,表明越来越多人已经意识到安全问题的存在。

但是,对开源组件进行管理、保留软件物料清单、对软件供应商进行风险管理的受访者比例仍然是令人感到遗憾的。

想了解更多的调研结果和洞察结论可以翻阅完整版报告。

圆桌对话

聚焦DevSecOps的发展

最后的圆桌环节中,悬镜安全的CEO子芽、CODING的CEO张海龙、数世咨询的创始人李少鹏、小佑科技的CEO袁曙光以及平安壹钱包的安全运营组组长汪永辉共同探讨了有关DevSecOps的三个话题:落地实践经验、与云原生的关系以及在软件供应链安全方面的价值。

DevSecOps在实际落地时有什么难点?

子芽认为,在实际应用中,用户往往受限于自身业务场景、预算、人员等情况,所以具体落地是要分阶段的。悬镜在实践后的经验是,第一阶段是帮助用户找到软件应用上线前的安全风险,第二阶段要打通流程平台,第三阶段是要敏捷右移。

张海龙进一步补充,为了让用户更好地接受DevSecOps,有一点很关键,要让安全更好地融入到已有的DevOps里面,让其团队所有人能很快上手,不需要去额外学习。

袁曙光重点谈到了DevSecOps三要素之一的文化,认为安全理念的渗透是一个中长期过程而且很难。汪永辉对此深有体会,因为他们公司身处金融行业,对安全的重视与生俱来,正因为有这样的安全文化,DevSecOps落地就相对比较顺畅。

在观点新颖、智慧碰撞的圆桌论坛结束之后,随着主持人李少鹏的一声“明年再见”,这一届DevSecOps应用与技术专场在一片掌声中顺利画上句号。期待在明年的DevSecOps应用与技术专场上,会有更多生态同仁、有识之士分享更多技术成果与创新实践。

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章