研发运营安全技术白皮书.docxVIP

研发运营安全技术白皮书 前 言 近年来，安全事件频发，究其原因，软件应用服务自身存在代码安全漏洞，被黑客利用攻击是导致安全事件发生的关键因素之一。随着信息化的发展，软件应用服务正在潜移默化的改变着生活的各个方面，渗透到各个行业和领域，其自身安全问题也愈发成为业界关注的焦点。传统研发运营模式之中，安全介入通常是在应用系统构建完成或功能模块搭建完成之后，位置相对滞后，无法完全覆盖研发阶段的安全问题。在此背景下，搭建整体的研发运营安全体系，强调安全左移，覆盖软件应用服务全生命周期安全，构建可信理念是至关重要的。 本白皮书首先对于研发运营安全进行了概述，梳理了全球研发运营安全现状，随后对于信通院牵头搭建的研发运营安全体系进行了说 明，归纳了研发运营安全所涉及的关键技术。最后，结合当前现状总 结了研发运营安全未来的发展趋势，并分享了企业组织研发运营安全优秀实践案例以供参考。 目 录 一、研发运营安全概述 1 （一）研发层面安全影响深远，安全左移势在必行 1 （二）覆盖软件应用服务全生命周期的研发运营安全体系 4 二、研发运营安全发展现状 5 （一）全球研发运营安全市场持续扩大 5 （二）国家及区域性国际组织统筹规划研发运营安全问题 7 （三）国际标准组织及第三方非盈利组织积极推进研发运营安全共识 12 （四）企业积极探索研发运营安全实践 14 （五）开发模式逐步向敏捷化发展，研发运营安全体系随之向敏捷化演进 . 19 三、研发运营安全关键要素 21 （一）覆盖软件应用服务全生命周期的研发运营安全体系 22 （二）研发运营安全解决方案同步发展 31 四、研发运营安全发展趋势展望 . 41 附录：研发运营安全优秀实践案例 . 43 （一）华为云可信研发运营案例 . 43 （二）腾讯研发运营安全实践 . 50 （三）国家基因库生命大数据平台研发运营安全案例 58 图 目 录 图 1 Forrester 外部攻击对象统计数据 2 图 2 研发运营各阶段代码漏洞修复成本 3 图 3 研发运营安全体系 4 图 4 Cisco SDL 体系框架图 . 16 图 5 VMware SDL 体系框架图 . 17 图 6 微软 SDL流程体系 20 图 7 DevSecOps 体系框架图 . 21 图 8 研发运营安全解决方案阶段对应图 32 表 目 录 表 1 2021-2021 全球各项安全类支出及预测 6 表 2 2021-2021 中国各项安全类支出及预测 7 表 3 重点国家及区域性国际组织研发运营安全相关举措 12 表 4 国际标准组织及第三方非营利组织研发运营安全相关工作 14 表 5 企业研发运营安全具体实践 19 表 6 SDL 与 DevSecOps 区别对照 . 21 PAGE PAGE 10 一、 研发运营安全概述 （一）研发层面安全影响深远，安全左移势在必行 随着信息化的发展，软件应用服务正在潜移默化的改变着生活的各个方面，渗透到各个行业和领域，软件应用服务的自身安全问题也愈发成为业界关注的焦点。 全球安全事件频发，代码程序漏洞是关键诱因之一。 2021 年，美国最大的征信机构之一Equifax 因未能及时修补已知的安全漏洞发生 一起涉及 1.48 亿用户的数据安全、隐私泄露事件，影响几乎一半的 美国人口；国内电商因优惠券漏洞被恶意牟利，酒店、求职等网站也曾发生数据安全事件，泄露百万级、亿级用户隐私数据。究其原因， 软件应用服务自身安全漏洞被黑客利用攻击是数据安全事件层出不穷关 键因素之一。根据 Verizon 2021 年的研究报告《 Data Breach Investigations Report 》，在总计核实的 2021 次数据泄露安全事件中，超过 30%与 Web 应用程序相关， Web应用程序威胁漏洞具体指程序中的代码安全漏洞以及权限设置机制等。 Forrester 2021 年发布的 调 查 报 告 《 Forrester Analytics Global Business Technographics Security Survey ，2021》中显示，在 283 家全球企业已经确认的外部攻击中，针对软件漏洞以及 Web 应用程序是位于前两位的，分别占比达到了 40%与 37%，具体数据见图 1 ，其中软件漏洞主要指对于安全漏洞的利用攻击，攻击 Web 应用程序主要指基于程序的 SQL 注入、跨站脚本攻击等。 软件漏洞（漏洞利用） Web 应用程序（ SQL注入、跨站脚本使用被盗凭证（加密秘钥） DDoS 水坑攻击移动恶意软件 利用丢失 / 被盗资产 DNS 钓鱼勒索软件