- 1、本文档共27页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
面向云计算的可信研发运营安全
系列标准解读
吴江 伟
中国信息通信研究院云大所云计算部工程师
01 标准工作背景
什么是面向云计算的可信研发运营安全
面 向云计 算 的 可信 研 发 运 营 安 全
面向云计算 可信 研发运营
• IaaS :云主机、对象存储等 • 安全 • 指服务应用研发运营全生命周
• PaaS :应用托管容器等 • 用户信赖 期;
• SaaS :智能客服、财务管 • 包含需求设计、安全编码、测
理等 试、发布、部署,延伸到安全
运营、运营数据反馈以及服务
下线。
研发阶段代码安全影响重大
0% 5% 10% 15% 20% 25% 30% 35% 40% 45%
软件漏洞(漏洞利用) 40%
Web应用程序(SQL注入、跨站脚本等) 37%
使用被盗凭证(加密秘钥) 28% 根据Forrester 2019年发布的调查数据
DDoS 25% 显示,在已经核实的外部攻击中,软
水坑攻击 25% 件漏洞与Web应用程序攻击位于前两
位。软件漏洞主要指漏洞的利用攻击、
移动恶意软件 25%
Web应用程序指基于程序的SQL注入、
利用丢失/被盗资产 25%
跨站脚本攻击等,二者都与代码安全
DNS 20%
紧密相关。
钓鱼 19%
勒索软件 14%
社会工程学 6%
其他 1%
数据来源:Forrester Analytics Global Business Technographics Security Survey ,2019
研发阶段安全介入相对滞后,安全左移有助于削减成本
安全补丁管理
渗透测试
动态安全测试
文档评论(0)