研发运营安全技术白皮书.pdfVIP

研发运营安全技术白皮书 前 言 近年来，安全事件频发，究其原因，软件应用服务自身存在代码安 全漏洞，被黑客利用攻击是导致安全事件发生的关键因素之一。随着信 息化的发展，软件应用服务正在潜移默化的改变着生活的各个方面，渗 透到各个行业和领域，其自身安全问题也愈发成为业界关注的焦点。传 统研发运营模式之中，安全介入通常是在应用系统构建完成或功能模块 搭建完成之后，位置相对滞后，无法完全覆盖研发阶段的安全问题。在 此背景下，搭建整体的研发运营安全体系，强调安全左移，覆盖软件应 用服务全生命周期安全，构建可信理念是至关重要的。 本白皮书首先对于研发运营安全进行了概述，梳理了全球研发运 营安全现状，随后对于信通院牵头搭建的研发运营安全体系进行了说 明，归纳了研发运营安全所涉及的关键技术。最后，结合当前现状总 结了研发运营安全未来的发展趋势，并分享了企业组织研发运营安全优 秀实践案例以供参考。 目 录 一、研发运营安全概述 1 （一）研发层面安全影响深远，安全左移势在必行 1 （二）覆盖软件应用服务全生命周期的研发运营安全体系 4 二、研发运营安全发展现状 5 （一）全球研发运营安全市场持续扩大 5 （二）国家及区域性国际组织统筹规划研发运营安全问题 7 （三）国际标准组织及第三方非盈利组织积极推进研发运营安全共识 12 （四）企业积极探索研发运营安全实践 14 （五）开发模式逐步向敏捷化发展，研发运营安全体系随之向敏捷化演进 . 19 三、研发运营安全关键要素 21 （一）覆盖软件应用服务全生命周期的研发运营安全体系 22 （二）研发运营安全解决方案同步发展 31 四、研发运营安全发展趋势展望 . 41 附录：研发运营安全优秀实践案例 . 43 （一）华为云可信研发运营案例 . 43 （二）腾讯研发运营安全实践 . 50 （三）国家基因库生命大数据平台研发运营安全案例 58 图 目 录 图 1 Forrester 外部攻击对象统计数据 2 图 2 研发运营各阶段代码漏洞修复成本 3 图 3 研发运营安全体系 4 图 4 Cisco SDL 体系框架图 . 16 图 5 VMware SDL 体系框架图 .