面向云计算的可信研发运营安全系列标准解读.pdf

面向云计算的可信研发运营安全 系列标准解读 吴江 伟 中国信息通信研究院云大所云计算部工程师 01 标准工作背景 什么是面向云计算的可信研发运营安全 面 向云计 算 的 可信 研 发 运 营 安 全 面向云计算 可信 研发运营 • IaaS ：云主机、对象存储等 • 安全 • 指服务应用研发运营全生命周 • PaaS ：应用托管容器等 • 用户信赖 期； • SaaS ：智能客服、财务管 • 包含需求设计、安全编码、测 理等 试、发布、部署，延伸到安全 运营、运营数据反馈以及服务 下线。 研发阶段代码安全影响重大 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 软件漏洞（漏洞利用） 40% Web应用程序（SQL注入、跨站脚本等） 37% 使用被盗凭证（加密秘钥） 28% 根据Forrester 2019年发布的调查数据 DDoS 25% 显示，在已经核实的外部攻击中，软 水坑攻击 25% 件漏洞与Web应用程序攻击位于前两 位。软件漏洞主要指漏洞的利用攻击、 移动恶意软件 25% Web应用程序指基于程序的SQL注入、 利用丢失/被盗资产 25% 跨站脚本攻击等，二者都与代码安全 DNS 20% 紧密相关。 钓鱼 19% 勒索软件 14% 社会工程学 6% 其他 1% 数据来源：Forrester Analytics Global Business Technographics Security Survey ，2019 研发阶段安全介入相对滞后，安全左移有助于削减成本 安全补丁管理 渗透测试 动态安全测试