7月29日,由中国信息通信研究院(以下简称“中国信通院”)、中国通信标准化协会联合主办的可信云线上峰会在“云端”开幕。会上发布了《研发运营安全白皮书(2020年)》。由中国信通院牵头,联合华为、腾讯、阿里、浪潮、京东、金山、华大基因、奇安信、默安科技、新思科技等诸多知名企业,用系统化、流程化方法梳理软件应用服务研发运营全生命周期安全及发展趋势。不仅有助从业者提升对软件应用服务研发运营安全的理解,对于促进行业共识及合作也具有积极的指导意义。
安全左移,全生命周期提升软件应用服务安全性
《研发运营安全白皮书(2020年)》开篇即指出研发运营安全指结合人员管理体系、制度流程,在软件应用服务设计早期便引入安全,进行安全左移,覆盖要求阶段、安全需求分析阶段、设计阶段、研发阶段、验证阶段、发布阶段、运营阶段、停用下线阶段的全生命周期,搭建安全体系,降低安全问题解决成本,全方面提升服务应用安全,提升人员安全能力。
全球安全事件频发,代码程序漏洞是关键诱因之一。根据Verizon以及Forrester等机构发布的研究数据显示,外部攻击、数据泄露等安全事件发生的根本原因超过30%与软件漏洞被攻击利用以及针对Web应用程序安全漏洞有关。
传统研发运营安全模式中,安全介入相对滞后。传统研发运营安全,针对软件应用服务自身的安全漏洞检测修复,通常是在系统搭建或者功能模块构建完成或者服务上线运营之后介入,进行安全扫描,威胁漏洞修复。当前的大多数安全手段,例如防病毒、防火墙、入侵检测等,都是关注交付运行之后的安全问题,属于被动防御性手段。
安全左移有助于帮助企业削减成本。根据美国国家标准与技术研究所(NIST)、IBM、Fortify等统计数据显示,在软件需求分析阶段就开始避免漏洞的成本比发布后修复成本低50~100倍。
各方关注日趋提升,研发安全运营市场持续扩大
全球主要国家以及区域性国际组织开始以战略、规范、指南等多种形式,统筹规划研发运营安全问题;国际标准组织及第三方非盈利组织也在积极推进研发运营安全共识;企业层面,全球知名互联网厂商也已经开始探索研发运营安全实践。
在白皮书的第二部分,不仅有诸多国际权威机构发布的市场数据,还包括各国政府,行业组织制定的相关法规和标准,以及全球知名互联网公司相关研发运营安全实践的介绍,对于从业人员了解行业现状具有很强的现实意义。
表1 重点重点国家及区域性国际组织研发运营安全相关举措
表2 国际标准组织及第三方非盈利组织研发运营安全相关工作
表3 企业研发运营安全具体实践
四大特点,七大环节详解研发运营安全体系
中国信通院牵头,联合华为、腾讯、阿里、浪潮、京东、金山、华大基因、奇安信、默安科技、新思科技等诸多知名企业讨论建立了一套针对研发运营的安全体系。
图片来源:中国信息通信研究院
表3 企业研发运营安全具体实践
本白皮书除了宏观层面和市场环境之外,还从细节入手,详细介绍了该研发运营安全体系,概要总结包括四大特点,七大环节。
四大特点
(1)覆盖范围更广,延伸至下线停用阶段,覆盖软件应用服务全生命周期;
(2)更具普适性,抽取关键要素,不依托于任何开发模式与体系;
(3)不止强调安全工具,同样注重安全管理,强化人员安全能力;
(4)进行运营安全数据反馈,形成安全闭环,不断优化流程实践。
七大环节
(1)管理制度;建立合适的人员组织架构与制度流程,保证研发运营流程安全的具体实施,针对人员进行安全培训,增强安全意识,进行相应考核管理;
(2)安全要求,前期明确安全要求,如设立质量安全门限要求,进行安全审计,对于第三方组件进行安全管理等;
(3)安全需求分析与设计,在研发阶段之前,进行安全方面的需求分析与设计,从合规要求以及安全功能需求方面考虑,进行威胁建模,确定安全需求与设计;
(4)安全研发验证,搭配安全工具确保编码实际安全,同时对于开源及第三方组件进行风险管理,在测试过程中,针对安全、隐私问题进行全面、深度的测试;
(5)安全发布,服务上线发布前进行完整性审查,制定事先响应计划,确保发布安全;
(6)运营安全,上线运营阶段,进行安全监控与安全运营,通过渗透测试等手段进行风险评估,针对突发事件进行应急响应,并及时复盘,形成处理知识库,汇总运营阶段的安全问题,形成反馈机制,优化研发运营全流程;
(7)停用下线,制定服务下线方案与计划,明确隐私保护合规方案,确保数据留存符合最小化原则。
趋势详解和案例帮助企业深刻理解研发运营安全可信生态
白皮书根据对行业及市场需求的深刻洞察,结合参与企业实践整理了安全体系在当下及未来一段时间内的主要发展趋势。包括,(1)研发运营安全管理体系将更加完善;(2)研发运营安全体系将会推动安全技术、工具的进一步发展;(3)研发运营安全将增强安全可信生态布局,对于供应链安全要求也将会越来越高。
除了审慎的分析和完善的数据之外,为了能够让读者更切实感受到研发运营安全体系的价值所在,白皮书最后的附录部分还从研发运营安全痛点、企业具体落地实现、最终效果描述三个方面呈现了国内多家知名企业,包括华为、腾讯、华大基因等研发运营安全的优秀实践案例,以便为读者提供参考。该白皮书的发布对于增强行业关于研发运营安全的认识,以及促进各方合作,并最终实现安全可信生态建设具有积极意义。
标准体系建设与评估相关工作
目前研发运营安全相关的行业标准《面向云计算的可信研发运营安全能力成熟度模型》与《研发运营安全解决方案整体框架》已成功在中国通信标准化协会(CCSA)中立项,标准的制定也受到了业界的广泛支持,中国信通院、华为、腾讯、阿里、京东云、金山云、奇安信、新思科技、默安科技、华大基因、普元信息、烽火、华云、新华三等企业参与标准的制定。
首批评估工作即将启动
针对相关行业标准的评估也在同步推进过程中:首批面向云计算的可信研发运营安全能力成熟度评估即将于2020年下半年启动;预计于2021年上半年启动首批静态应用程序安全测试(SAST)解决方案的评估。
具体评估细节请联系:
吴江伟 wujiangwei@caic.ac.cn