2020年研发运营安全白皮书.pdf

研发运营安全白皮书 （ 2020年） 云计算开源产业联盟 OpenSource Cloud Alliance for industry， OSCAR 2020年 7月 版权声明 本白皮书版权属于云计算开源产业联盟，并受法律保护。转载、摘编或利用其它方式使用本调查报告文字或者观点的，应注明 “来源：云计算开源产业联盟 ”。违反上述声明者，本联盟将追究其相关法律责任。 前 言 近年来，安全事件频发，究其原因， 软件 应用 服务 自身存在代码安全漏洞，被黑客利用攻击是导致安全事件 发生的关键因素之一。随着 信息化的发展 ， 软件 应用 服务 正在潜移默化的改变着生活的各个方面 ， 渗透到各个行业和领域， 其 自身安全问题 也 愈发 成为业界关注的焦点。传统研发运营模式之中，安全介入通常是在 应用 系统构建完成或功能模块搭建完成之后，位置相对滞后，无法完全覆盖研发阶段的安全问题。在此背景下，搭建整体的研发运营安全体系，强调安全左移，覆盖 软件应用服务 全生命周期安全，构建可信 理念 是 至关重要 的。 本白皮书首先 对于 研发运营安全进行了概述， 梳理了 全球 研发运营安全现状，随后对于信通院牵头搭建的研发运营安全体系进行了 说明 ，归纳了研发运营安全所涉及的关键技术 。 最后， 结合当前现状总结了 研发运营安全 未来 的发展趋势 ， 并分享了 企业组织 研发运营安全优秀 实践案例以供 参 考。 参与编写单位 中国信息通信研究院、 华为技术有限公司、深圳市腾讯计算机系统有限公司、阿里云计算有限公司、 浪潮云信息技术股份 公司、 京东云计算（北京）有限公司、北京金山云网络技术有限公司、深圳华大生命科学研究院、奇安信科技集团股份有限公司、杭州默安科技有限公 司、新思科技（上海）有限公司 主要撰稿人 吴江伟、 栗蔚、 郭雪、耿涛、康雪婷、 徐毅、 章可镌、沈栋、郭铁涛、张祖优、 马松松、 黄超、伍振亮、祁景昭、 朱勇、 贺进、宋文娣、张娜、蔡国瑜、张鹏程、张玉良、董国伟、周继玲、杨国梁、肖率武、薛植元 目 录 一、研发运营安全概述 . 1 （一）研发层面安全影响深远，安全左移势在必行 . 1 （二）覆盖软件应用服务全生命周期的研发运营安全体系 . 4 二、研发运营安全发展现状 . 5 （一） 全球研 发运营安全市场持续扩大 . 5 （二）国家及区域性国际组织统筹规划研发运营安全问题 . 7 （三）国际标准组织及第三方非盈利组织积极推进研发运营安全共识 . 12 （四）企业积极探索研发运营安全实践 . 14 （五）开发模式逐步向敏捷化发展，研发运营安全体系随之向敏捷化演进 . 19 三、研发运营安全关键要素 . 21 （一）覆盖软件应用服务全生命周期的研发运营安全体系 . 22 （二）研发运营安全解决方案同步发展 . 31 四、研发运营安全发展趋势展望 . 41 附录：研发运营安全优秀实践案例 . 43 （一）华为云可信研发运营案例 . 43 （二）腾讯研发运营安全实践 . 50 （三）国家基因库生命大数据平台研发运 营安全案例 . 58 图 目 录 图 1 Forrester 外部攻击对象统计数据 . 2 图 2 研发运营各阶段代码漏洞修复成本 . 3 图 3 研发运营安全体系 . 4 图 4 Cisco SDL 体系框架图 . 16 图 5 VMware SDL 体系框架图 . 17 图 6 微软 SDL 流程体系 . 20 图 7 DevSecOps 体系框架图 . 21 图 8 研发运营安全解决方案阶段对应图 . 32 表 目 录 表 1 2019-2020 全球各项安全类支出及预测 . 6 表 2 2019-2020 中国各项安全类支出及预测 . 7 表 3 重点国家及区域性国际组织研发运营安全相关举措 . 12 表 4 国际标准组织及第三方非营利组织研发运营安全相关工作 . 14 表 5 企业研发运营安全具体实践 . 19 表 6 SDL 与 DevSecOps 区别对照 . 21 云计算开源产业联盟 研发运营安全 白皮书 1 一、 研发运营安全 概述 （一） 研发层面安全影响深远，安全左移势在必行 随着信息化的发展， 软件 应用服务 正在潜移默化的改变着生活的各个方面，渗透到各个行业和领域， 软件 应用 服务 的自身安全问题 也愈发成为业界关注的焦点。 全球 安全事件频发， 代码程 序 漏洞是关键诱因之一。 2017 年，美国最大的征信机构之一 Equifax 因未能及时修补已知的安全漏洞 发生一起涉及 1.48 亿用户的数据安全 、 隐私泄露 事件， 影响几乎一半的美国人口；国内 电商因优惠券漏洞 被恶意牟利， 酒店、求职等网站也曾 发生数据安全事件，泄露百万级、亿级用户隐私数据。 究其原因，软件应用服务 自身安全漏洞被黑客利用攻击是 数据安全事件层出不穷 关键因素之一。 根据 Verizon 2019 年的研究报告 Data Breach Investigations Report ，在总计核实的 2013 次数据泄露安全事件中，超过 30%与 Web 应用程序 相关 ， Web 应用程序 威胁 漏洞 具体指程序中的 代码安全漏洞以及权限设置机制等 。 Forrester 2019 年 发布的 调 查 报 告 Forrester Analytics Global Business Technographics Security Survey， 2019 中显示， 在 283 家 全球 企业 已经确认的 外部攻击中， 针对软件漏洞以及 Web 应用程序是位于前两位的， 分别占比达到了 40%与 37%，具体数据见图 1，其中 软件漏洞主要指对于安全漏洞的利用攻击， 攻击 Web 应用程序 主要 指 基于 程序的 SQL 注入 、跨站脚本攻击等。 云计算开源产业联盟 研发运营安全 白皮书 2 数据 来源： Forrester 图 1 Forrester 外部攻击对象统计数据 根据 咨询公司 Gartner 统计数据显示，超过 75%的安全攻击发生在代码应用层面。 已知安全 漏洞中， 应用程序安全漏洞 与 Web 应用程序安全漏洞占多数 。 美国国家标准技术研究院（ NIST）的统计数据显示 92%的漏洞属于应用层而非网络层。 国家计算机网络应急技术 处理协调中心 2020年 4月的发布的数据显示， 2019年，国家信息安全漏洞共享平台（ CNVD）收录的安全漏洞数量创下 历史新高，数量同比增长 14.0%，达到 16193个，其中应用程序漏洞占比 56.2%， Web 应用程序占比 23.3%，二者相加占比超过 76%，充分说明安全漏洞大多存在于 软件 应用 服务 本身。 传统研发运营安全模式中，安全介入相对滞后。 传统 研发运营安全 ， 针对服务应用自身的安全漏洞检测修复， 通常是在系统搭建 或者功能模块构建 完成之后 以及 服务应用 上线运营之后 ，安全介入，进行安全扫描，威胁漏洞修复 。 如 当前的大多数安全手段，防病毒、防火40%37%28%25%25%25%25%20%19%14%6%1%0% 5% 10% 15% 20% 25% 30% 35% 40% 45%软件漏洞（漏洞利用）Web应用程序（ SQL注入、跨站脚本 使用被盗凭证（加密秘钥）DDoS水坑攻击移动恶意软件利用丢失 /被盗资产DNS钓鱼勒索软件社会工程学其他云计算开源产业联盟 研发运营安全 白皮书 3 墙、入侵检测等，都是关注软件交付运行之后的安全问题，属于被动防御性手段。 这种模式 便于 软件 应用 服务 的快速研发部署，但安全介入相对滞后，并无法覆盖研发阶段代码层面的安全 ， 安全测试范围相对有限 ，安全漏洞修复成本也更大 。 安全左移有助于帮助企业削减成本。 代码是 软件 应用服务 开发的最初形态，其缺陷或漏洞是导致 安全问题的直接根源，尽早发现源码缺陷能够大大降低安全问题的修 复成本 。 根据美国国家标准与技术研究所（ NIST）统计，在发布后执行代码修复，其修复成本相当于在设计阶段执行修复的 30 倍 。 具体数据如图 2 所示。 数据 来源 ： 美国国家标准与技术研究所（ NIST） 图 2 研发运营各阶段代码漏洞修复成本 在此背景下，搭建新型的研发运营安全体系，进行安全左移，覆盖 软件应用服务 的全生命周期 ， 是至关重要，也是势在必行的。 建立新型的研发运营安全体 系有助于 构建可信理念，创造可信 生态 ， 是 实现 软件应用服务 全生命周期 安全的重要一步。 云计算开源产业联盟 研发运营安全 白皮书 4 （二） 覆盖 软件应用服务 全生命周期的研发运营安全体系 新型研发运营安全体系强调安全左移 ，覆盖 软件应用服务 全生命周期。 本白皮书认为的 研发运营安全指 结合人员管理 体系 、制度流程，在 软件应用服务 设计早期便 引入安全， 进行安全左移， 覆盖 要求阶段、安全需求分析阶段、设计阶段、研发阶段、验证阶段、发布阶段、运营阶段、 停用 下线 阶段的 全生命周期 ，搭建安全体系， 降低安全问题解决成本， 全方面提升 服务应用 安全， 提升人员安全能力 。 具体架构体系如下图 3 所示。 图片 来源：中国信息通信研究院 图 3 研发运营安全体系 体系框架 具体 内容 包括： 1）管理 制度 ，建立合适的人员组织架构与制度流程，保证研发运营流程安全的具体实施，针对人员进行安全培训，增强安全意识，进行相应考核管理； 2）明确安全要求，前期明确安全要求，如设立质量安全门限要求，进行安全审计，对于第三