研发运营安全白皮书 (2020年) 云计算开源产业联盟 OpenSource Cloud Alliance for industry,OSCAR 2020年7月 版权声明 本白皮书版权属于云计算开源产业联盟,并受法律保护。 转载、摘编或利用其它方式使用本调查报告文字或者观点的, 应注明“来源:云计算开源产业联盟”。违反上述声明者,本联 盟将追究其相关法律责任。 前 言 近年来,安全事件频发,究其原因,软件应用服务自身存在代码 安全漏洞,被黑客利用攻击是导致安全事件发生的关键因素之一。随 着信息化的发展,软件应用服务正在潜移默化的改变着生活的各个方 面,渗透到各个行业和领域,其自身安全问题也愈发成为业界关注的 焦点。传统研发运营模式之中,安全介入通常是在应用系统构建完成 或功能模块搭建完成之后,位置相对滞后,无法完全覆盖研发阶段的 安全问题。在此背景下,搭建整体的研发运营安全体系,强调安全左 移,覆盖软件应用服务全生命周期安全,构建可信理念是至关重要的。 本白皮书首先对于研发运营安全进行了概述,梳理了全球研发运 营安全现状,随后对于信通院牵头搭建的研发运营安全体系进行了说 明,归纳了研发运营安全所涉及的关键技术。最后,结合当前现状总 结了研发运营安全未来的发展趋势,并分享了企业组织研发运营安全 优秀实践案例以供参考。 参与编写单位 中国信息通信研究院、华为技术有限公司、深圳市腾讯计算机系 统有限公司、阿里云计算有限公司、浪潮云信息技术股份公司、京东 云计算(北京)有限公司、北京金山云网络技术有限公司、深圳华大 生命科学研究院、奇安信科技集团股份有限公司、杭州默安科技有限 公司、新思科技(上海)有限公司 主要撰稿人 吴江伟、栗蔚、郭雪、耿涛、康雪婷、徐毅、章可镌、沈栋、 郭铁涛、张祖优、马松松、黄超、伍振亮、祁景昭、朱勇、贺进、 宋文娣、张娜、蔡国瑜、张鹏程、张玉良、董国伟、周继玲、杨国 梁、肖率武、薛植元 目 录 一、研发运营安全概述................................................................................................................... 1 (一)研发层面安全影响深远,安全左移势在必行 ........................................................... 1 (二)覆盖软件应用服务全生命周期的研发运营安全体系 ............................................... 4 二、研发运营安全发展现状........................................................................................................... 5 (一)全球研发运营安全市场持续扩大............................................................................... 5 (二)国家及区域性国际组织统筹规划研发运营安全问题 ............................................... 7 (三)国际标准组织及第三方非盈利组织积极推进研发运营安全共识 ......................... 12 (四)企业积极探索研发运营安全实践............................................................................. 14 (五)开发模式逐步向敏捷化发展,研发运营安全体系随之向敏捷化演进 ................. 19 三、研发运营安全关键要素......................................................................................................... 21 (一)覆盖软件应用服务全生命周期的研发运营安全体系 ............................................. 22 (二)研发运营安全解决方案同步发展............................................................................. 31 四、研发运营安全发展趋势展望................................................................................................. 41 附录:研发运营安全优秀实践案例............................................................................................. 43 (一)华为云可信研发运营案例......................................................................................... 43 (二)腾讯研发运营安全实践............................................................................................. 50 (三)国家基因库生命大数据平台研发运营安全案例 ..................................................... 58 图 目 录 图 1 Forrester 外部攻击对象统计数据 ........................................... 2 图 2 研发运营各阶段代码漏洞修复成本 ........................................... 3 图 3 研发运营安全体系 ........................................................ 4 图 4 Cisco SDL 体系框架图 .................................................... 16 图 5 VMware SDL 体系框架图 ................................................... 17 图 6 微软 SDL 流程体系 ....................................................... 20 图 7 DevSecOps 体系框架图 .................................................... 21 图 8 研发运营安全解决方案阶段对应图 ......................................... 32 表 目 录 表1 表2 表3 表4 表5 表6 2019-2020 全球各项安全类支出及预测 ....................................... 6 2019-2020 中国各项安全类支出及预测 ....................................... 7 重点国家及区域性国际组织研发运营安全相关举措 ........................... 12 国际标准组织及第三方非营利组织研发运营安全相关工作 ..................... 14 企业研发运营安全具体实践 ............................................... 19 SDL 与 DevSecOps 区别对照 ................................................ 21 云计算开源产业联盟 研发运营安全白皮书 一、 研发运营安全概述 (一)研发层面安全影响深远,安全左移势在必行 随着信息化的发展,软件应用服务正在潜移默化的改变着生活的 各个方面,渗透到各个行业和领域,软件应用服务的自身安全问题也 愈发成为业界关注的焦点。 全球安全事件频发,代码程序漏洞是关键诱因之一。2017 年,美 国最大的征信机构之一 Equifax 因未能及时修补已知的安全漏洞发 生一起涉及 1.48 亿用户的数据安全、隐私泄露事件,影响几乎一半 的美国人口;国内电商因优惠券漏洞被恶意牟利,酒店、求职等网站 也曾发生数据安全事件,泄露百万级、亿级用户隐私数据。究其原因, 软件应用服务自身安全漏洞被黑客利用攻击是数据安全事件层出不 穷关键因素之一。根据 Verizon 2019 年的研究报告《Data Breach Investigations Report》,在总计核实的 2013 次数据泄露安全事件 中,超过 30%与 Web 应用程序相关,Web 应用程序威胁漏洞具体指程 序中的代码安全漏洞以及权限设置机制等。Forrester 2019 年发布 的 调 查 报 告 《 Forrester Analytics Global Business Technographics Security Survey,2019》中显示,在 283 家全球企 业已经确认的外部攻击中,针对软件漏洞以及 Web 应用程序是位于前 两位的,分别占比达到了 40%与 37%,具体数据见图 1,其中软件漏洞 主要指对于安全漏洞的利用攻击,攻击 Web 应用程序主要指基于程序 的 SQL 注入、跨站脚本攻击等。 1 云计算开源产业联盟 研发运营安全白皮书 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 40% 37% 软件漏洞(漏洞利用) Web应用程序(SQL注入、跨站脚本… 28% 25% 25% 25% 25% 20% 19% 14% 使用被盗凭证(加密秘钥) DDoS 水坑攻击 移动恶意软件 利用丢失/被盗资产 DNS 钓鱼 勒索软件 6% 社会工程学 其他 1% 数据来源:Forrester 图 1 Forrester 外部攻击对象统计数据 根据咨询公司 Gartner 统计数据显示,超过 75%的安全攻击发生在代 码应用层面。 已知安全漏洞中,应用程序安全漏洞与 Web 应用程序安全漏洞占 多数。美国国家标准技术研究院(NIS
信通院 研发运营安全白皮书-2020年
文档预览
中文文档
71 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共71页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-05-11 13:27:48上传分享