演讲实录 | 子芽于新书发布会发表“DevSecOps敏捷安全体系浅谈”主题演讲
7月26日下午,在“又见DSO 2022”子芽《DevSecOps敏捷安全》新书发布会上,作为作者以及主办方悬镜安全、协办方OpenSCA社区的创始人,子芽发表了主题为“DevSecOps敏捷安全体系浅谈”的演讲,不仅对云原生时代面临的数字化安全风险与挑战进行了全面梳理总结,而且重点解读了诸如DevSecOps敏捷安全体系、技术落地实践、技术演进趋势等新书核心内容。
点击观看➡子芽发表“DevSecOps敏捷安全体系浅谈”主题演讲
以下为子芽演讲实录:
云原生时代面临的数字化安全风险与挑战
在数字经济时代,软件定义万物并已经成为保障社会正常运转的基本组件。关于现代软件有两大共识:第一,数字化应用都是组装的而非纯自研,其中78-90%的成分是第三方的开源组件、框架和库;第二,缺陷是天生的,漏洞是必然的,从软件工程学的角度来看,只要是人为编写的代码,每千行大概有1-4个业务逻辑缺陷或漏洞。
现代数字化应用存在四大风险面:包含OWASP Top10在内的通用漏洞;水平越权、垂直越权等业务逻辑漏洞;第三方开源成分缺陷及漏洞;新近涌现的异常行为代码。值得一提的是,Apiiro公司夺得RSAC 2021创新沙盒比赛冠军的主要原因之一就在于其关注整个软件开发过程中引入的异常行为代码。在业务和组织上云的云原生时代,究竟是什么驱动着云安全尤其是云原生安全的发展?
子芽主题演讲
悬镜经过多年研究沉淀,认为以下四个新变化是主要推动力。
云原生的变革也使得软件供应链中引入了新的安全风险,例如微服务风险、镜像风险、基础设施风险等。在云原生时代,软件供应链安全事件频发,从2014年的心脏滴血漏洞到去年爆发的Log4j2.x重大未知漏洞,开源软件漏洞、开发工具被污染、厂商预留后门、升级劫持等软件供应链安全风险层出不穷。
整个软件供应链的主要安全风险集中在上游的软件开发环节、中间的软件供应环节和下游的软件使用环节。其中在开发和使用环节进行的研运一体化安全风险治理即DevSecOps,是软件供应链安全治理的关键之一。DevSecOps敏捷安全体系正是解决软件全生命周期安全风险的重要抓手。
DevSecOps敏捷安全体系
DevSecOps可以用莫比乌斯环形象化展示,包含左半边的开发部分和右半边的常态化运营部分,两者是有机结合,并且在持续迭代、循环和改进,在此基础上,Gartner又将相关安全活动柔和地融入莫比乌斯环的各个阶段,要求安全成为所有人的共同责任。不单要关注安全前置过程中开发的安全,更要关注安全开发过程中体系化的安全治理与运营。
新一代DevSecOps敏捷安全体系的引入,从文化、流程、技术、度量等维度高效统一了企业组织在敏态开发和云原生环境下的软件工程文化和实践,旨在将安全和自动化应用到软件的SDLC全生命周期,在构建软件功能的同时,透明发现并缓解安全风险,最终实现“安全前置,源头保障安全风险”。
悬镜是全球范围内首个将完整的DevSecOps框架实战化的厂商。DevSecOps敏捷安全体系的概念是悬镜首创,也是这本书的精髓部分。
DevSecOps敏捷安全体系的核心内涵包括:
DevSecOps敏捷安全框架有文化、流程、技术、度量四个组成部分。文化包含顶层设计、安全共担与赋能、重视专家意见、持续学习、拥抱实践、善于借鉴。整个流程从计划、创建一直到预测、改进,依赖于DevOps研运一体化。
技术根据使用场景可以分为基础设施层、应用免疫层和安全运营层。在基础设施层,CNAPP能对基础设施进行检测和保护。在应用免疫层,包含内生情境感知的IAST技术、保障应用默认出厂免疫的RASP技术以及用于开源风险治理的SCA技术。在安全运营层,持续威胁模拟与安全度量的BAS技术能检验现有安全体系的有效性,还能与RASP进行联动。
度量方面,除了关注各种软件安全成熟度模型,还需要关注过程度量指标等。
DevSecOps敏捷安全体系适用于三大典型应用场景:DevOps敏态开发环境(DevSecOps)、云原生安全、软件供应链安全。
DevSecOps技术落地实践
提及DevSecOps敏捷安全技术,就不得不谈到CI/CD黄金管道,其核心技术为代码疫苗技术以及软件供应链检测治理技术。无论是在DevSecOps流水线场景还是在传统的SDL安全开发活动中,代码疫苗技术在编码、测试、上线部署等环节都发挥着不同的关键作用。
DevSecOps体系落地建设过程总共分为三个阶段:
企业关于软件供应链安全治理与保障的相关需求越来越迫切。借这次机会分享一下悬镜的DevSecOps软件供应链全流程风险治理框架,其在一定程度上整合了悬镜的软件供应链安全技术及配套服务。
DevSecOps软件供应链全流程风险治理框架
DevSecOps敏捷安全技术演进趋势
IDC在今年发布的一份报告中,将DevSecOps定义为云安全领域中的变革型技术,可见其重要性。
网络安全技术经历了三次关键演进:
利用单探针的深度融合,代码疫苗技术不仅能在研发测试环节进行交互式的应用安全风险审查,同时发现数字化应用自身API的安全风险和缺陷,另外,也能自适应地免疫数字化应用的风险威胁,并对敏感数据进行动态追踪。
最后与大家分享悬镜原创的DevSecOps敏捷安全技术金字塔2.0版本,最新迭代的3.0版本将在今年发布。
DevSecOps敏捷安全技术金字塔2.0版本
关于DevSecOps敏捷安全技术金字塔,有四点解读:
悬镜认为安全的本质是风险与信任的动态平衡,它一定要结合业务价值;
自动化、情境化和敏捷是DevSecOps建设的技术基础,不仅要求检测的高精度和低误报率,还需要具备业务透视和数据协同分析能力;
不仅需要关注应用自身风险,还应当关注应用开发和运营过程中相关环境的风险;
DevSecOps敏捷安全体系不仅要求安全左移,从源头做风险治理,而且要求敏捷右移,即常态化运营的敏捷化。
+
推荐阅读
关于悬镜安全
悬镜安全,DevSecOps敏捷安全领导者。起源于北京大学网络安全技术研究团队“XMIRROR”,创始人子芽。专注于以代码疫苗技术为内核,通过原创专利级"全流程软件供应链安全赋能平台+敏捷安全工具链”的第三代DevSecOps智适应威胁管理体系,持续帮助金融、车联网、泛互联网、能源等行业用户构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生积极防御体系。更多信息请访问悬镜安全官网:www.xmirror.cn