安全赋能，质效双增——DevSecOps标准权威解读

       2021 GOLF+ IT新治理领导力论坛于2021年12月24日线上召开。本次大会旨在“新治理融惠创新，数字化行稳致远”，围绕“治效兼顾，构筑科技治理新生态”和“XOPS创新，领航运维发展新脉络”两大主题展开。

       网络安全作为2021年全球热门关键词，是IT新治理模式下不可或缺的话题。本次论坛特设“安全与风险治理分论坛”。将针对当前复杂的科技风险治理环境，邀请以金融行业、通信行业为主的一线研发运营安全一体化（DevSecOps）、软件供应链安全技术实践者，以及模型风险治理的行业专家，就当前在该领域获得的研究成果、实践经验心得等议题展开探讨，从不同角度分析科技治理过程中存在的风险和安全隐患，互通切实可行的治理方法与技术手段，共同维护网络安全，为政府和企业营造安全可控的网络空间环境。

       中国信通院云计算与大数据研究所治理与审计部工程师刘凯铃于“安全与风险治理分论坛”发表《安全赋能，质效双增——DevSecOps标准权威解读》主题演讲。

       【演讲实录】

       大家好，我是来自中国信通院云计算与大数据研究所治理与审计部的刘凯铃。今天跟大家分享的内容是《安全赋能质效双增——DevSecOps标准解读》，主要包括整体DevOps能力成熟度模型系列标准的简介，以及DevSecOps安全及风险管理标准的内容解读。

       传统的运维模式逐步向DevOps研发运营一体化模式转变。随着用户需求的日益增长，包括对于产品交付的快速响应、快速实现、高质量要求，以及来自团队内部的压力和企业数字化转型的迫切需求，业务需求和技术创新并行驱动着软件开发模式发生巨大变革，进而推动DevOps落地。

       一、业务需求。随着我国企业的数字化、信息化发展，企业业务规模、模式也发生巨大改变，对于业务需求变化响应时间提出了更高和更新的要求。

       二、技术创新。部署环境、应用架构以及基础设施各个方面都非常有利于DevOps落地。由于传统开发模式的开发周期长、价值体现节点晚，难以适应软件需求的快速变化，且无法覆盖软件开发全生命周期，开发模式从上世纪70年代传统的瀑布式开发模式向现今的DevOps模式演进。

       2018年，中国信通院联合互联网、金融、通信行业在内的业界头部企业专家，共同编制立项了《研发运营一体化DevOps能力成熟度模型》系列标准。

       这个系列标准总体分为八部分。第一部分是总体架构，对后续系列标准中的内容进行了全面介绍。第二到第四部分描述了DevOps的过程域，包括敏捷开发管理、持续交付和技术运营。从第五部分开始，主要是DevOps过程支撑的能力要求，包括应用设计、安全风险管理、评估方法和系统工具的技术要求。目前其中七个部分已编制完成。

       去年7月ITU-T（国际电信联盟）全会上，由信通院主导的首个DevOps国际标准于全会通过,成功获批。它对云计算技术下的云服务开发和运维管理需求提出了要求，也是国际上首个针对DevOps的国际标准。

       DevOps是“开发（Dev）”和“运维（Ops）”的缩写，是一组过程、方法和系统的统称，强调业务人员及IT专业人员（开发、测试和运维运营等），在应用和服务全生命周期中的协作和沟通。强调整个组织的合作以及交付和基础设施变更的自动化，从而实现持续集成、持续部署、持续交付等无缝集成衔接。

       DevSecOps是将信息安全的框架整合到DevOps工作流程中，将研发、测试、运营、安全多个部门紧密合作，在提升开发和运维敏捷性的同时，也保障数据和服务的可用性和安全性。

       在传统的开发模式中，安全在软件测试时才开始介入，安全部门独立于开发和运维团队而存在。2012年，Gartner首次在报告中提出了DevOpsSec这个概念。2017年的RSA大会上，DevSecOps首次成为热门词汇，它是对DevOps的延展，它提出安全是每个人的责任。

       DevOps的落地实践带动了DevSecOps的兴起。它强调将信息安全的能力整合到DevOps工作流程中，强调人人要为安全负责。

       上图是在调查中整理出的中国DevSecOps现状报告。报告显示，目前已有53%的受访者所在企业引入了DevSecOps，近5成企业有专业的安全团队，与2020年相比增长了一成，企业非常关注安全能力的建设。

       上图是安全及风险管理标准的框架。此标准是一种全新的安全理念和模式，强调安全是每个人的责任，将安全内嵌到应用的全生命周期。在安全风险可控的前提下，帮助企业提升IT效能，更好地实现DevOps研发运营一体化。

标准框架依据DevOps全生命周期划分为四大部分，包括：控制总体风险或控制通用风险、控制开发过程风险、控制交付过程风险及控制运营过程风险。整体的框架主要强调四点内容，包括：人人为安全负责、将安全左移、全流程的安全内建及安全闭环。

       首先，控制通用风险。在DevOps模式下，安全内建于开发、交付、运营过程中，总体风险包括三个过程中的共性安全要求。

       一、组织建设与人员管理。强调在全过程中建立对应的组织，负责不同的安全职责，注重安全文化建设和安全意识培养。

       二、安全工具链。要求安全左移，将漏洞扫描、应用安全测试、开源合规、威胁建模、自动化漏洞扫描平台等安全工具嵌入DevOps全生命周期。

       三、基础设施管理。要求基础设施在DevOps全生命周期中，提供安全、可靠、稳定、可持续的基础环境以及支撑服务的平台。

       四、第三方管理。第三方管理包括第三方人员、第三方机构、第三方软件和第三方服务管理，这些都纳入到安全和风险管理过程。

       五、数据管理。在DevOps过程中对涉及到的各类数据进行安全管理，利用制度、流程及工具化等手段保障数据安全性和完整性。

       六、度量与反馈改进。通过对研发、交付和运营过程的安全风险进行度量、展示并且反馈给团队处理，实现持续的优化和改进。

       其次，控制开发过程风险。为了降低后续交付、运营中的安全风险，保障整体的安全,必须要提前实施安全风险管理工作。在应用的需求阶段就进行安全风险控制，同时关注架构和设计的安全风险，并在开发过程中实施安全风险管理。

       一、需求管理。将安全工作左移，在应用的需求阶段即进行安全风险控制，定义安全需求，并采取有效的措施和手段来控制开发过程的安全风险，包括安全需求定义、验证和管理。

       二、设计管理。关注开发过程中架构和设计的安全风险。通过攻击面的分析、威胁建模等手段，识别应用潜在的安全风险和威胁，制定措施，进行风险消减、规避，确保产品的安全性。

       三、开发过程管理。关注编码过程的安全管理，以安全编码方式实现功能。

       关于控制交付过程风险。安全交付是将安全内建到交付过程中，是实现安全运营的前提条件。通过将配置管理、构建管理、测试管理和部署与发布管理纳入安全风险管理，使系统、产品、服务可以在安全、完整的最佳状态下交付。

       配置管理关注源代码相关的脚本依赖组件、发布制品、应用配置、环境配置等相关配置进行统一的安全管理，包括代码审查、代码保护机制、防篡改机制等。

       构建管理是指对安全的构建管理。它可以提升应用发布制品的安全性，可靠、可重复的构建过程有利于安全问题的避免和版本追溯。

       测试管理指在应用发布之前，通过安全测试发现并排除应用的安全缺陷，提高软件安全质量。

       部署与发布管理关注安全流程和规范，通过发布与部署过程中的安全控制与低风险的发布机制，保障发布和部署交付物的安全管理能力。

       关于控制运营过程风险，要将安全内建于运营过程中，通过监控、运营、响应、反馈等实现技术运营过程中的安全风险闭环管理。

       这部分包括四个能力项。

       一、安全监控。对于运营过程中的安全进行监控，覆盖业务场景与基础运营环境，如病毒攻击、DDoS攻击、暴力破解等。

       二、运营安全。应用在运营过程中实施安全控制，识别、评估漏洞与缺陷，并降低或消除风险。也包括对运营过程中配置管理和变更管理等的安全管理。

       三、应急响应。针对运营过程中的安全事件、风险进行响应、跟踪和处置，及时降低风险和影响，保障业务连续性。近日热门漏洞事件就会运用到运营安全，包括应急响应等相关能力。

       四、运营反馈。关注运营过程中安全的动态性、持续性和整体性。通过对安全漏洞、缺陷和事件等的分析与反馈，实现从运营到开发过程的DevSecOps闭环管理。

       最后，安全及风险管理（DevSecOps）参评情况。去年12月，我们有幸针对三家企业的三个项目进行了首批试评估，包括工行、平安银行和华泰证券，他们分别参评了安全开发、安全交付和安全运营。

       今年11月，我们针对五家企业的五个项目进行了DevSecOps评估，包括畅捷通、郑州银行、中原银行、国信证券和中泰证券，他们在相关模块也获得了较好结果，标志着大家目前非常关注安全能力的建设。

       在评估的过程中，我们发现了目前企业在实践安全过程中的强项和弱项。强项包括组织建设和人员管理、开发过程的管理、部署与发布的安全管理以及安全监控应急响应。大部分企业都有相应完善的组织流程和机制，也会通过工具或平台进行自动化手段来完善安全能力。弱项是目前企业普遍缺乏对于多维度的安全工具以及扫描工具的组合使用编排能力。