DevSecOps技術(shù)標(biāo)準(zhǔn)解讀

De

v

S

e

c

Op

s技術(shù)標(biāo)準(zhǔn)解讀技術(shù)創(chuàng)新，變革未來De

v

Op

s的定義：“開發(fā)（De

v）”和“運(yùn)維（Op

s

）”的縮寫，是一組過程、方法與系統(tǒng)的統(tǒng)稱，強(qiáng)調(diào)業(yè)務(wù)人員及IT專業(yè)人員（開發(fā)、測(cè)試、運(yùn)維等）在應(yīng)用和服務(wù)生命周期中的協(xié)作和溝通；強(qiáng)調(diào)整個(gè)組織的合作以及交付和基礎(chǔ)設(shè)施變更的自動(dòng)化，從而實(shí)現(xiàn)持續(xù)集成、持續(xù)部署和持續(xù)交付等的無縫集成。De

vSecOps的定義：是將信息安全的框架整合到De

vOps的工作流程中，研發(fā)、運(yùn)營、測(cè)試、安全多個(gè)部門緊密協(xié)作，在提升開發(fā)和運(yùn)營敏捷性的同時(shí)，也保障了數(shù)據(jù)和服務(wù)的可用性與安全性。什么是De

vSec

Ops？安全概念De

vSecOps概念示意圖De

vSec

Ops的由來20122012年Ga

r

t

ner的報(bào)告中首次提出了“De

v

Op

s

S

e

c”這個(gè)概念20172017年在RSA年度大會(huì)上“De

v

S

e

c

Op

s”成為了熱門詞匯，它是一種對(duì)De

vOps的延展，De

vSec

Ops提出安全是每個(gè)人的責(zé)任。2017-至今至今De

vOps的落地實(shí)踐帶動(dòng)了De

vSec

Ops的興起，強(qiáng)調(diào)將信息安全的能力整合到DevOps的工作流程中，各部門重視安全，提升開發(fā)和運(yùn)營敏捷性。>>傳統(tǒng)開發(fā)模式中，安全介入較晚，且安全部門獨(dú)立于軟件開發(fā)、運(yùn)維部門。關(guān)于De

vSec

Ops的幾點(diǎn)理解？Ye

s

是一種安全的文化的滲透

是制度流程和工具的集合

是將安全性和合規(guī)性納入軟件全生命周期的方法

是由學(xué)習(xí)和實(shí)踐驅(qū)動(dòng)的戰(zhàn)略部署應(yīng)用程序的能力在規(guī)模和速度上都得到了改善，但安全方面的考慮卻常常被忽略，更傾向于快速滿足業(yè)務(wù)需求。依靠應(yīng)用程序來保持操作運(yùn)行，開發(fā)過程中的安全性是上線的最后階段執(zhí)行，應(yīng)用程序安全性必須加快以跟上軟件開發(fā)的步伐。De

vSec

Ops生命周期計(jì)劃階段定義研發(fā)安全指標(biāo)，進(jìn)行威脅建模，安全工具培訓(xùn)等編碼階段I

DE安全插件方式實(shí)現(xiàn)配置階段簽名驗(yàn)證、完整性校驗(yàn)和縱深防御檢測(cè)階段RASP、UEBA、網(wǎng)絡(luò)監(jiān)控和滲透測(cè)試響應(yīng)階段安全編排，基于RASP/WAF的安全防護(hù)、混淆De

vSec

Ops的主要特征是通過在軟件生命周期的各個(gè)階段進(jìn)行自動(dòng)化，監(jiān)控和應(yīng)用安全性來提高客戶成果和使命價(jià)值，包括計(jì)劃，開發(fā)，構(gòu)建，測(cè)試，發(fā)布，交付，部署，操作和監(jiān)控等階段。驗(yàn)證（測(cè)試）階段在軟件開發(fā)階段消除這些漏洞可以降低企業(yè)的信息安全風(fēng)險(xiǎn)，包括SAST/

DAST/

I

AST,

SCA準(zhǔn)生產(chǎn)環(huán)境混沌工程、模糊測(cè)試和集成測(cè)試發(fā)布階段軟件簽名，傳輸?shù)冗^程中防篡改預(yù)測(cè)階段相關(guān)的脆弱性分析、I

OC情報(bào)、

STI

X、TAXI

IDe

vOpsSec優(yōu)化階段解決安全技術(shù)債、事件響應(yīng)、縱深防御體系等不斷適配、調(diào)整和優(yōu)化ReDe

t

ect標(biāo)準(zhǔn)背景說明

牽頭單位：工信部中國信息通信研究院（國家智庫，可信云等出品單位）

起草單位：中國信息通信研究院、云計(jì)算開源產(chǎn)業(yè)聯(lián)盟、De

v

Op

s時(shí)代社區(qū)、高效運(yùn)維社區(qū)、BATJ、中國銀行、招商銀行、平安科技、中國移動(dòng)、中國聯(lián)通和華為等

目前進(jìn)展：工信部和聯(lián)合國ITU-T立項(xiàng)在研，2

0

1

8年6月2

9日發(fā)布全量征求意見稿安全及風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)框架控制總體風(fēng)險(xiǎn)組織建設(shè)和人員管理安全工具鏈基礎(chǔ)設(shè)施管理數(shù)據(jù)管理第三方管理度量與反饋改進(jìn)控制開發(fā)過程風(fēng)險(xiǎn)需求管理設(shè)計(jì)管理開發(fā)過程管理控制交付過程風(fēng)險(xiǎn)配置管理構(gòu)建管理測(cè)試管理部署與發(fā)布管理控制運(yùn)營過程風(fēng)險(xiǎn)安全監(jiān)控運(yùn)營安全應(yīng)急響應(yīng)運(yùn)營反饋《研發(fā)運(yùn)營一體化（De

vOps

）能力成熟度模型第6部分：安全及風(fēng)險(xiǎn)管理》《研發(fā)運(yùn)營一體化（De

vOps

）能力成熟度模型第6部分：安全及風(fēng)險(xiǎn)管理》標(biāo)準(zhǔn)是一種全新的安全理念與模式，強(qiáng)調(diào)安全是每個(gè)人的責(zé)任，指將安全內(nèi)嵌到應(yīng)用的全生命周期，在安全風(fēng)險(xiǎn)可控的前提下，幫助企業(yè)提升I

T效能，更好地實(shí)現(xiàn)研發(fā)運(yùn)營一體

，化

框架劃分依據(jù)De

vOps

全生命周期分為：控制總體風(fēng)險(xiǎn)、控制開發(fā)過程風(fēng)險(xiǎn)、控制交付過程風(fēng)險(xiǎn)和控制運(yùn)營過程風(fēng)險(xiǎn)四大部分。人人為安全負(fù)責(zé)▲安全左移▲全流程的安全內(nèi)建▲安全閉環(huán)控制總體風(fēng)險(xiǎn)控制總體風(fēng)險(xiǎn)：在De

vOps模式下，安全內(nèi)建于開發(fā)、交付、運(yùn)營過程中，總體風(fēng)險(xiǎn)包括三個(gè)過程中的共性安全要求，包括：組織建設(shè)和人員管理、安全工具鏈、基礎(chǔ)設(shè)施管理、第三方管理、數(shù)據(jù)管理、度量與反饋改進(jìn)。交付過程開發(fā)過程運(yùn)營過程①組織建設(shè)與人員管理：在De

vSec

Ops全過程中，建立對(duì)應(yīng)的組織負(fù)責(zé)不同的安全職責(zé)，注重安全文化建設(shè)⑥度量與反饋改進(jìn)：通過對(duì)研發(fā)、交付、運(yùn)營過程的安全風(fēng)險(xiǎn)進(jìn)行度量、展示并反饋給團(tuán)隊(duì)處理和改進(jìn)④第三方管理第三方機(jī)構(gòu)第三方人員第三方軟件第三方服務(wù)合作/接入的安全險(xiǎn)風(fēng)控制③基礎(chǔ)設(shè)施管理：要求基礎(chǔ)設(shè)施在Dev

Op

s全生命周期中，提供安全、可靠、穩(wěn)定、可持續(xù)的基礎(chǔ)環(huán)境以及支撐服務(wù)的平臺(tái)⑤數(shù)據(jù)管理：在De

v

Op

s過程中對(duì)涉及的各類數(shù)據(jù)進(jìn)行安全管理，利用制度、流程及工具化等手段保障數(shù)據(jù)的安全性②安全工具鏈：要求安全左移，將漏洞掃描、應(yīng)用安全測(cè)試、開源合規(guī)、威脅建模、自動(dòng)化漏洞掃描平臺(tái)等安全工具嵌入De

vOps全生命周期控制開發(fā)過程風(fēng)險(xiǎn)控制開發(fā)過程風(fēng)險(xiǎn)：為降低后續(xù)交付、運(yùn)營中的安全風(fēng)險(xiǎn)，保障研發(fā)運(yùn)營一體化的整體安全，必須提前實(shí)施安全風(fēng)險(xiǎn)管理工作。在應(yīng)用的需求階段就進(jìn)行安全風(fēng)險(xiǎn)控制，同時(shí)關(guān)注架構(gòu)與設(shè)計(jì)的安全風(fēng)險(xiǎn)，并在開發(fā)過程中實(shí)施安全風(fēng)險(xiǎn)管理。將安全工作左移，在應(yīng)用的需求階段即進(jìn)行安全風(fēng)險(xiǎn)控制，定義安全需求并采取有效的措施和手段，從而控制開發(fā)過程的安全風(fēng)險(xiǎn)。需求管理關(guān)注開發(fā)過程中架構(gòu)與設(shè)計(jì)的安全風(fēng)險(xiǎn)。通過攻擊面分析、威脅建模等手段，識(shí)別應(yīng)用潛在的安全風(fēng)險(xiǎn)和威脅，制定措施消減威脅、規(guī)避風(fēng)險(xiǎn)，確保產(chǎn)品的安全性。關(guān)注編碼過程的安全管理，以安全編碼方式實(shí)現(xiàn)功能。設(shè)計(jì)管理開發(fā)過程管理安全需求定義安全需求驗(yàn)證安全需求管理安全需求包括：應(yīng)用的安全

功能和功能的安全性兩方面。對(duì)安全需求測(cè)試用例的編寫、驗(yàn)證與管理，提出相關(guān)要求。安全需求基線>>持續(xù)更新的安全需求標(biāo)準(zhǔn)庫與管理平臺(tái)>>自動(dòng)化、智能化的需求管理平臺(tái)安全設(shè)計(jì)規(guī)范威脅建模安全架構(gòu)

安全設(shè)計(jì)審核

方案010203安全編碼源代碼安全檢測(cè)開源組件安全風(fēng)險(xiǎn)與合規(guī)檢測(cè)控制交付過程風(fēng)險(xiǎn)：安全交付是將安全內(nèi)建到交付過程中，是實(shí)現(xiàn)安全運(yùn)營的前提條件。通過將配置管理、構(gòu)建管理、測(cè)試管理及部署與發(fā)布管理等交付過程納入安全風(fēng)險(xiǎn)管理，使得系統(tǒng)、產(chǎn)品、服務(wù)可以在安全完整的最佳狀態(tài)下交付。是保障交付過程正確性的前提，主要包括對(duì)源代碼及相關(guān)腳本、依賴組件、發(fā)布制品、應(yīng)用配

置、環(huán)境配置等的安全管理。安全的構(gòu)建管理可提升應(yīng)用的發(fā)布制品安全性，可靠可重復(fù)的構(gòu)建過程有利于安全問題的避免和版本變更追溯。在應(yīng)用發(fā)布前，通過安全測(cè)試發(fā)現(xiàn)幵排除應(yīng)用的安全缺陷，提高安全質(zhì)量。安全的部署與發(fā)布關(guān)注安全的流程與規(guī)范、過程中的安全控制與低風(fēng)險(xiǎn)的發(fā)布機(jī)制。配置管理構(gòu)建管理測(cè)試管理部署與發(fā)布管理B代碼保護(hù)機(jī)制C防篡改機(jī)制D軟件資產(chǎn)安全風(fēng)險(xiǎn)庫A代碼評(píng)審構(gòu)建腳本構(gòu)建環(huán)境構(gòu)建工具開源組件安全掃描?

?03黑盒安全測(cè)試0容4

器安全掃描靜態(tài)代碼安全掃描00102安全流程與規(guī)范安全控制方式嵌入De

vOps流水線安全質(zhì)量門限低風(fēng)險(xiǎn)發(fā)布機(jī)制控制交付過程風(fēng)險(xiǎn)控制運(yùn)營過程風(fēng)險(xiǎn)：關(guān)注將安全內(nèi)建于運(yùn)營過程中，通過監(jiān)控、運(yùn)營、響應(yīng)、反饋等實(shí)現(xiàn)技術(shù)運(yùn)營過程中安全風(fēng)險(xiǎn)的閉環(huán)管理，包括：安全監(jiān)控、運(yùn)營安全、應(yīng)急響應(yīng)和運(yùn)營反饋。1342安全監(jiān)控對(duì)運(yùn)營過程中的安全進(jìn)行監(jiān)控，覆蓋業(yè)務(wù)場(chǎng)景與基礎(chǔ)運(yùn)營環(huán)境，如：病毒攻擊、DDo

s攻擊、暴力破解、注入攻擊、接口濫用、We

b欺詐等運(yùn)營反饋關(guān)注運(yùn)營過程中安全的動(dòng)態(tài)性、持續(xù)

性和整體性，通過對(duì)安全漏洞、缺陷、事件等的分析與反饋，實(shí)現(xiàn)從運(yùn)營到開發(fā)過程的De

v

S

e

c

O

ps閉環(huán)管理。運(yùn)營安全應(yīng)用在運(yùn)營過程中實(shí)施安全控制，識(shí)別、評(píng)估漏洞與缺陷，幵降低或消除風(fēng)險(xiǎn)。也包括對(duì)運(yùn)營過程中配置管理、變更管理等的安全管理。應(yīng)急響應(yīng)針對(duì)運(yùn)營過程中的安全事件、風(fēng)險(xiǎn)進(jìn)

行響應(yīng)、跟蹤和處置，及時(shí)降低風(fēng)險(xiǎn)和影響，保障業(yè)務(wù)連續(xù)性。風(fēng)險(xiǎn)分類分級(jí)應(yīng)急體系及演練應(yīng)急響應(yīng)度量機(jī)制應(yīng)急響應(yīng)復(fù)盤機(jī)制BCAD日志分析安全審計(jì)漏洞發(fā)現(xiàn)與修復(fù)漏洞情報(bào)收集工具安全加固斂斂控制運(yùn)營過程風(fēng)險(xiǎn)關(guān)于開發(fā)運(yùn)維相關(guān)工作開發(fā)運(yùn)維類行業(yè)標(biāo)準(zhǔn)制定交流研討、輸出軟科研成果標(biāo)準(zhǔn)推廣標(biāo)準(zhǔn)符合性驗(yàn)證和評(píng)測(cè)云計(jì)算運(yùn)維工作組《可信云服務(wù)專項(xiàng)評(píng)估第1部分面向云服務(wù)提供商的運(yùn)維管理指南》云服務(wù)運(yùn)維管理流程指導(dǎo)云服務(wù)運(yùn)維管理系統(tǒng)功能完備性云服務(wù)運(yùn)維管理系統(tǒng)的自動(dòng)化管理《研發(fā)運(yùn)營一體化（De

vOps

）能力成熟度模型》系