此外���,白皮書還對新型研發(fā)運營安全體系的四大特點和七大環(huán)節(jié)進行了詳細介紹�����,其中四大特點包括:
1. 覆蓋范圍更廣�,延伸至下線停用階段,覆蓋軟件應用服務全生命周期���;
2. 更具普適性�����,抽取關鍵要素�,不依托于任何開發(fā)模式與體系;
3. 不止強調安全工具�����,同樣注重安全管理���,強化人員安全能力;
4. 進行運營安全數據反饋�,形成安全閉環(huán),不斷優(yōu)化流程實踐�。
而七大環(huán)節(jié)則分為軟件應用服務研發(fā)的要求階段、安全需求分析階段到上線后的發(fā)布階段�����、運營階段���、停用下線階段等七個階段�。
傳統(tǒng)研發(fā)運營安全模式僅能對發(fā)布�、運營和停用下線階段進行保護。而在安全左移之后,新型研發(fā)運營安全體系就能夠在軟件應用服務設計早期便引入安全概念���,從而讓安全覆蓋軟件應用服務全生命周期�����,最終實現達成降低安全問題解決成本�、全方面提升服務應用安全和提升人員安全能力的目的�。
不難看出,安全左移是搭建新型研發(fā)運營安全體系的重要前提��。
研發(fā)運營安全體系�����,需向敏捷化����、自動化演進
一直以來,研發(fā)運營安全相關體系的發(fā)展與開發(fā)模式的變化是密不可分的��。隨著近年來云計算的普及�,越來越多的企業(yè)開始將業(yè)務,尤其是核心業(yè)務向云原生的環(huán)境遷移,對軟件開發(fā)的質量和效率的要求不斷提高����。
而DevOps作為一款云原生��、API所驅動的敏捷開發(fā)工具��,被云上企業(yè)廣泛應用于軟件應用服務開發(fā)和部署的過程中���。白皮書認為,為適應軟件應用服務開發(fā)模式逐步向敏捷化發(fā)展的趨勢�����,研發(fā)運營安全體系也應隨之向敏捷化演進�,能夠將安全工具無縫集成到開發(fā)過程中的“DevSecOps”開發(fā)框架�,將成為未來研發(fā)運營安全的關鍵組成部分。
安全專家建議����,在構建“DevSecOps”框架中的功能時,需要重點考慮風險和威脅建模����、自定義代碼掃描、開源軟件掃描和追蹤�����、系統(tǒng)配置漏洞掃描、安全測試的自動化部署等安全功能�。同時,用戶使用 DevOps 的目的決定了其對“自動化”和“持續(xù)性”的要求尤為突出�,因此在將安全工具集成到開發(fā)過程之中時,也應該遵循“自動化”和“透明”的原則����。
全生命周期安全體系,已在部分領域中成功落地
盡管白皮書給出了新型研發(fā)運營安全體系的構成和實現路徑�����,但安全左移���、自動化和全生命周期安全保護在應用實踐中有著更高的要求�����。對于這類企業(yè)而言�,選擇配套上云+云上原生安全產品組合����,同樣不失為另一種解決方案���。
騰訊安全在7月舉辦的“產業(yè)安全公開課·云原生專場”中,在直播課程中對外分享了騰訊安全云原生安全運營體系的構建理念��,即以云原生為中心���,以安全左移����、數據驅動及自動化為基本支撐����,從而實現云上的全生命周期安全管理。
其中�,安全左移指的是云原生安全運營體系。首先應該具備事前感知安全威脅和配置風險檢查能力��,既以構建安全預防體系的方式提升整體安全水平�����;而數據驅動則是云原生安全運營的基本要求�����,通過建立云上安全數據湖對各安全產品上的數據進行收集和統(tǒng)一管理�;最后,通過云上資產自動化盤點及云上威脅自動化響應處置等自動化技術�����,對收集到的云上安全問題進行自動響應和處置����,最終構建出對安全威脅從感知到檢測再到應對處置的全生命周期安全管理體系。
目前�����,騰訊安全以云原生安全運營體系為核心所打造的安全產品——騰訊安全運營中心累計為政府��、金融�����、運營商���、醫(yī)療����、互聯(lián)網等多個領域提供安全保障。未來���,騰訊安全將繼續(xù)探索全生命周期安全在其他產品和領域中的應用場景和實現路徑����,為增強行業(yè)關于研發(fā)運營安全認識��、實現安全可信生態(tài)建設提供助力�����。
