在“安全左移”的趋势下,DevSecOps(安全开发运维一体化)已经成为企业数字化转型过程中应用安全的基础保障。8月12日,作为北京网络安全大会(BCS2020) 重磅环节,由中国信息通信研究院主办、“网安一哥”奇安信集团协办的DevSecOps论坛如期召开。众多行业领导、技术专家等就内生安全在敏捷开发与运维方面的落地进行了深入交流和探讨。论坛还对《中国DevOps现状调查报告(2020年)》进行了深度解读。
本次论坛汇聚了研究机构、央企、网络安全等各领域的多位重磅嘉宾,其中包括中国信息通信研究院云大所所长何宝宏、中国信息通信研究院云大所云计算部副主任牛晓玲、中国人寿研发中心安全测试负责人路向宇、农行研发中心安全部主任工程师孙勇、中国信息通信研究院云大所云计算部研究员刘凯铃、悬镜安全CEO子芽、JFrog 中国解决方案架构师刘永强、奇安信网络安全部产品安全负责人武鑫等。
何宝宏:DevSecOps将成为行业的重要发展方向
中国信息通信研究院云大所所长何宝宏为大会进行了主题演讲。他表示,随着软件行业发展的迅猛,软件迭代速度不断加快,云计算等新技术日趋成熟,再加之企业上云现在已经成为一种必然趋势,DevSecOps正在逐步取代传统的开发模式。而基于我国对网络安全的重视,也让DevSecOps成为重要的发展方向。
何宝宏表示,中国信息通信院联合国内互联网通信行业机构和社区顶级专家,共同编制了DevSecOps能力成熟度模型第六部分安全及风险管理,对DevSecOps全链中的开发,交付,运营等过程中的安全风险控制进行了规范,并提供了有效的引导。
牛晓玲:DevSecOps是在在持续交互中增加安全性手段
中国信息通信研究院云大所云计算部副主任牛晓玲发表了名为“DevSecOps的标准解读”的主题演讲。牛晓玲表示,DevSecOps就是把一些安全性的框架整合到整个软件开发流程当中,研发、运营、测试安全部门之间要相互协作,能够实现一些数据的可用性和安全性,包括整个研发流程的安全性。
随后,牛晓玲表示,DevSecOps是一种企业安全文化的渗透,同时它也是制度流程和工具的一个结合体。它是将这种安全性和合规性,纳入软件全生命周期的方法,同时也是由学习和使劲驱动的全公司级的战略。
路向宇:在DevSecOps初期开展开源软件安全治理具有高价值
中国人寿研发中心安全测试负责人路向宇发表了“敏捷开发中的开源安全治理”的主题演讲。路向宇表示,在DevSecOps初期开展工作开源软件安全治理具备很大的价值,主要体现在三个方面:第一,它对DevOps成熟度依赖比较低;第二,开源检测误报效率高,效率高,很容易实现自动化;第三,开源的漏洞有较高的危险确定性;第四,开源软件安全治理的投入产出比是比较高的。
此外,路向宇还介绍了实现开源治理的条件以及在实现开源治理的实践中可能会遇到一些问题。路向宇表示,当前的开源软件治理投入比较明确,效果具体,整体的整改风险非常可控。他还认为,检测能力是基础的建立开源资产安全管理是更加重要,不仅能快速提供各层面所需要的数据,而且能够在这个基础上建立漏洞的预警和应急响应机制。
孙勇:网络安全框架下,银行业的风险管控开始由被动到主动转变
随着《网络安全法》的正式颁布,金融系统的安全问题也成为行业内关注的重点。在本次论坛上,农行研发中心安全部主任工程师孙勇发表了“从被动到主动应用安全体系建设的实践”的主题演讲,重点阐述金融系统的安全体系建设问题。
孙勇表示,随着国家对于网络安全要求的提高,银行业的信息安全和网络安全发展也面临着更大的责任与挑战。面对这些挑战,从被动到主动,应用自防护成为了银行业防护的趋势。同时,孙勇还给出了一些关于加强风险管控的建议,包括:新技术研究需要产学研、包括工业界一起合作来做相关安全产品的研发;教学人才培养需要甲方乙方包括学院派、工业派一起合作等等。
刘凯铃:超四成企业已引入DevOps
在本次论坛上,中国信息通信研究院云大所云计算部研究员刘凯玲对《2020年中国DevOps现状调查报告》作了详细解读。
中国信息通信研究院云计算与大数据研究所将DevOps的成熟度划分了五个级别,分别是初始级、基础级、全面级、优秀级和卓越级。调查结果显示,企业DevOps的成熟度正逐步向全面级发展,和2019年调查结果相比,2020年处于全面级的企业占比已经增长了近一成。
调查还显示,有超四成的企业已经引入了DevOps,具体的占比是41.29%,在安全团队方面,有四成以上的企业已经具有了不同成熟度的专业的安全团队,跟去年相比增长显著。
子芽:软件供应链安全的威胁迫于眉睫
论坛上,悬镜安全负责人子芽发表了“新一代灰盒安全测试技术实践分享”的主题演讲。子芽首先分享了软件工程安全的两个共识:第一个是系统一定有未被发现的安全漏洞;第二,现在应用都是组装的,而非纯自然。子芽表示,软件供应链安全的威胁迫于眉睫。
子芽表示,悬镜有一套自己DevSecOps威胁管理体系,核心是从威胁建模、风险发现、威胁模拟、检测响应四个维度。
刘永强:开源不等于安全
接下来,JFrog中国解决方案架构师刘永强做了“企业级DevSecOps开源治理方案演进之路”的主题演讲。刘永强表示,开源不等于安全。
那么传统公司如何探测或者管理漏洞呢?刘永强表示,企业在应对开源治理挑战的时候,通常会是这样一个思路:第一个做统一入口;第二个是需要识别组件依赖;第三个是查找漏洞数据源;第四个是需要不断地在全生命周期做安全治理。刘永强强调,这个思路有一个原则是安全左移,尽可能把安全引入往开发侧内嵌。前三个是基础要点,在做生命周期安全治理之前,前三个一定要做。
武鑫:漏洞资产管理也包含在网络安全大框架里
论坛最后,奇安信网络安全部产品安全负责人武鑫做了“从漏洞的视角看敏捷安全”的发言。武鑫介绍,从漏洞的视角来看敏捷安全,文化、流程和技术三个方面很重要,尤其在漏洞方面能得到深刻的体现。
武鑫表示,不管是SDL,或者是DevSecOps,目的都是为了让产品更加安全。此外,武鑫还总结了在修复漏洞实践中遇到的问题,并分享了关于漏洞修复的管理原则和方法。
武鑫表示,第一点通过建立制度、策略和线上漏洞运营的系统,加强漏洞修复能力;第二点是漏洞分级,抓大放小,并进行一个动态的维护。第三点通过自研平台进行漏洞扫描,一方面降低漏洞的数量,另外一方面加强自己的漏洞发现能力。最后武鑫总结到,不管是应用安全能力,还是漏洞资产管理,都是包含在在大框架里的。
北京网络安全大会(BCS)由奇安信集团主办,以“全球网络安全 倾听北京声音”为立意,着眼数字化、网络化、智能化的时代背景,充分发挥北京科技之都、创新之都的资源优势,聚焦当前与未来网络安全产业发展、国际合作、资本创投、前沿技术、新场景应用和人才培养,搭建政、产、企、资、学、用等多方参与的世界级交流合作平台。大会为期10天,精彩还在继续!