信息化觀察網(wǎng)

7月29日，由中國信息通信研究院（以下簡稱“中國信通院”）、中國通信標(biāo)準(zhǔn)化協(xié)會聯(lián)合主辦的可信云線上峰會在“云端”開幕。會上發(fā)布了《研發(fā)運營安全白皮書（2020年）》。由中國信通院牽頭，聯(lián)合華為、騰訊、阿里、浪潮、京東、金山、華大基因、奇安信、默安科技、新思科技等諸多知名企業(yè)，用系統(tǒng)化、流程化方法梳理軟件應(yīng)用服務(wù)研發(fā)運營全生命周期安全及發(fā)展趨勢。不僅有助從業(yè)者提升對軟件應(yīng)用服務(wù)研發(fā)運營安全的理解，對于促進行業(yè)共識及合作也具有積極的指導(dǎo)意義。

安全左移，全生命周期提升軟件應(yīng)用服務(wù)安全性

《研發(fā)運營安全白皮書（2020年）》開篇即指出研發(fā)運營安全指結(jié)合人員管理體系、制度流程，在軟件應(yīng)用服務(wù)設(shè)計早期便引入安全，進行安全左移，覆蓋要求階段、安全需求分析階段、設(shè)計階段、研發(fā)階段、驗證階段、發(fā)布階段、運營階段、停用下線階段的全生命周期，搭建安全體系，降低安全問題解決成本，全方面提升服務(wù)應(yīng)用安全，提升人員安全能力。

全球安全事件頻發(fā)，代碼程序漏洞是關(guān)鍵誘因之一。根據(jù)Verizon以及Forrester等機構(gòu)發(fā)布的研究數(shù)據(jù)顯示，外部攻擊、數(shù)據(jù)泄露等安全事件發(fā)生的根本原因超過30%與軟件漏洞被攻擊利用以及針對Web應(yīng)用程序安全漏洞有關(guān)。

傳統(tǒng)研發(fā)運營安全模式中，安全介入相對滯后。傳統(tǒng)研發(fā)運營安全，針對軟件應(yīng)用服務(wù)自身的安全漏洞檢測修復(fù)，通常是在系統(tǒng)搭建或者功能模塊構(gòu)建完成或者服務(wù)上線運營之后介入，進行安全掃描，威脅漏洞修復(fù)。當(dāng)前的大多數(shù)安全手段，例如防病毒、防火墻、入侵檢測等，都是關(guān)注交付運行之后的安全問題，屬于被動防御性手段。

安全左移有助于幫助企業(yè)削減成本。根據(jù)美國國家標(biāo)準(zhǔn)與技術(shù)研究所（NIST）、IBM、Fortify等統(tǒng)計數(shù)據(jù)顯示，在軟件需求分析階段就開始避免漏洞的成本比發(fā)布后修復(fù)成本低50~100倍。

各方關(guān)注日趨提升，研發(fā)安全運營市場持續(xù)擴大

全球主要國家以及區(qū)域性國際組織開始以戰(zhàn)略、規(guī)范、指南等多種形式，統(tǒng)籌規(guī)劃研發(fā)運營安全問題；國際標(biāo)準(zhǔn)組織及第三方非盈利組織也在積極推進研發(fā)運營安全共識；企業(yè)層面，全球知名互聯(lián)網(wǎng)廠商也已經(jīng)開始探索研發(fā)運營安全實踐。

在白皮書的第二部分，不僅有諸多國際權(quán)威機構(gòu)發(fā)布的市場數(shù)據(jù)，還包括各國政府，行業(yè)組織制定的相關(guān)法規(guī)和標(biāo)準(zhǔn)，以及全球知名互聯(lián)網(wǎng)公司相關(guān)研發(fā)運營安全實踐的介紹，對于從業(yè)人員了解行業(yè)現(xiàn)狀具有很強的現(xiàn)實意義。

表1 重點重點國家及區(qū)域性國際組織研發(fā)運營安全相關(guān)舉措

表2 國際標(biāo)準(zhǔn)組織及第三方非盈利組織研發(fā)運營安全相關(guān)工作

表3 企業(yè)研發(fā)運營安全具體實踐

四大特點，七大環(huán)節(jié)詳解研發(fā)運營安全體系

中國信通院牽頭，聯(lián)合華為、騰訊、阿里、浪潮、京東、金山、華大基因、奇安信、默安科技、新思科技等諸多知名企業(yè)討論建立了一套針對研發(fā)運營的安全體系。

圖片來源：中國信息通信研究院

表3 企業(yè)研發(fā)運營安全具體實踐

本白皮書除了宏觀層面和市場環(huán)境之外，還從細(xì)節(jié)入手，詳細(xì)介紹了該研發(fā)運營安全體系，概要總結(jié)包括四大特點，七大環(huán)節(jié)。

四大特點

（1）覆蓋范圍更廣，延伸至下線停用階段，覆蓋軟件應(yīng)用服務(wù)全生命周期；

（2）更具普適性，抽取關(guān)鍵要素，不依托于任何開發(fā)模式與體系；

（3）不止強調(diào)安全工具，同樣注重安全管理，強化人員安全能力；

（4）進行運營安全數(shù)據(jù)反饋，形成安全閉環(huán)，不斷優(yōu)化流程實踐。

七大環(huán)節(jié)

（1）管理制度；建立合適的人員組織架構(gòu)與制度流程，保證研發(fā)運營流程安全的具體實施，針對人員進行安全培訓(xùn)，增強安全意識，進行相應(yīng)考核管理；

（2）安全要求，前期明確安全要求，如設(shè)立質(zhì)量安全門限要求，進行安全審計，對于第三方組件進行安全管理等；

（3）安全需求分析與設(shè)計，在研發(fā)階段之前，進行安全方面的需求分析與設(shè)計，從合規(guī)要求以及安全功能需求方面考慮，進行威脅建模，確定安全需求與設(shè)計；

（4）安全研發(fā)驗證，搭配安全工具確保編碼實際安全，同時對于開源及第三方組件進行風(fēng)險管理，在測試過程中，針對安全、隱私問題進行全面、深度的測試；

（5）安全發(fā)布，服務(wù)上線發(fā)布前進行完整性審查，制定事先響應(yīng)計劃，確保發(fā)布安全；

（6）運營安全，上線運營階段，進行安全監(jiān)控與安全運營，通過滲透測試等手段進行風(fēng)險評估，針對突發(fā)事件進行應(yīng)急響應(yīng)，并及時復(fù)盤，形成處理知識庫，匯總運營階段的安全問題，形成反饋機制，優(yōu)化研發(fā)運營全流程；

（7）停用下線，制定服務(wù)下線方案與計劃，明確隱私保護合規(guī)方案，確保數(shù)據(jù)留存符合最小化原則。

趨勢詳解和案例幫助企業(yè)深刻理解研發(fā)運營安全可信生態(tài)

白皮書根據(jù)對行業(yè)及市場需求的深刻洞察，結(jié)合參與企業(yè)實踐整理了安全體系在當(dāng)下及未來一段時間內(nèi)的主要發(fā)展趨勢。包括，（1）研發(fā)運營安全管理體系將更加完善；（2）研發(fā)運營安全體系將會推動安全技術(shù)、工具的進一步發(fā)展；（3）研發(fā)運營安全將增強安全可信生態(tài)布局，對于供應(yīng)鏈安全要求也將會越來越高。

除了審慎的分析和完善的數(shù)據(jù)之外，為了能夠讓讀者更切實感受到研發(fā)運營安全體系的價值所在，白皮書最后的附錄部分還從研發(fā)運營安全痛點、企業(yè)具體落地實現(xiàn)、最終效果描述三個方面呈現(xiàn)了國內(nèi)多家知名企業(yè)，包括華為、騰訊、華大基因等研發(fā)運營安全的優(yōu)秀實踐案例，以便為讀者提供參考。該白皮書的發(fā)布對于增強行業(yè)關(guān)于研發(fā)運營安全的認(rèn)識，以及促進各方合作，并最終實現(xiàn)安全可信生態(tài)建設(shè)具有積極意義。

標(biāo)準(zhǔn)體系建設(shè)與評估相關(guān)工作

目前研發(fā)運營安全相關(guān)的行業(yè)標(biāo)準(zhǔn)《面向云計算的可信研發(fā)運營安全能力成熟度模型》與《研發(fā)運營安全解決方案整體框架》已成功在中國通信標(biāo)準(zhǔn)化協(xié)會（CCSA）中立項，標(biāo)準(zhǔn)的制定也受到了業(yè)界的廣泛支持，中國信通院、華為、騰訊、阿里、京東云、金山云、奇安信、新思科技、默安科技、華大基因、普元信息、烽火、華云、新華三等企業(yè)參與標(biāo)準(zhǔn)的制定。

首批評估工作即將啟動

針對相關(guān)行業(yè)標(biāo)準(zhǔn)的評估也在同步推進過程中：首批面向云計算的可信研發(fā)運營安全能力成熟度評估即將于2020年下半年啟動；預(yù)計于2021年上半年啟動首批靜態(tài)應(yīng)用程序安全測試（SAST）解決方案的評估。

具體評估細(xì)節(jié)請聯(lián)系：

吳江偉 wujiangwei@caic.ac.cn