DevSecOps 企业实践白皮书.pdf
《DevSecOps 企业实践白皮书.pdf》由会员分享,可在线阅读,更多相关《DevSecOps 企业实践白皮书.pdf(40页珍藏版)》请在咨信网上搜索。
1、DevSecOps2020DevSecOpsDevSecOps企业实践白皮书关于安全聚合力系列独行难、众行远。安全聚合力系列报告旨在凝聚网络安全业内甲方安全专家,共同产出指导性、前瞻性的技术及行业实践研究报告,为企业提供更详实、更易落地的同行业安全建设参考。关于报告DevSecOps作为安全领域中逐渐步入成熟期的技术体系,从最初的理念到如今少量的成功实践案例,中间经历了大量的探索与发展。如今,很多企业已经意识到DevSecOps的重要性并想要有所实践,但仍然面临大量挑战。本次FreeBuf咨询邀请 研发运营一体化(DevOps)能力成熟度模型 部分编者及国内DevSecOps实践先行者携程、腾
2、讯、国内某知名金融机构等分别从DevSecOps工具链及企业落地实践等方面深入探索研究,共同输出一份DevSecOps企业实践白皮书,为企业CSO提供安全建设的有效参考。关于 FreeBuf 咨询FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析,分享国内外安全资源与行业洞见,是网络安全从业者与爱好者广泛关注的行业社区平台。FreeBuf咨询集结了安全行业经验丰富的安全专家和分析师,依托FreeBuf 安全智库,常年对信息安全技术、行业动态保持追踪,洞悉安全行业现状和趋势,呈现最专业的研究与咨询服务。DevSecOps企业实践白皮书报告出品团队甲方专家(按姓名首字母排序)
3、FreeBuf咨询出品人/尤文、鲍弘捷、高冰洋编者/武文婧、周雪静、张志鹏 顾问/徐钟豪行业分析师/宋丹丹设计指导/姚媛携程信息安全高级总监,15年信息安全工作经验,大学时便活跃于各类黑客论坛和黑客杂志,曾在多个技术峰会Qcon、Gitc、Xfungfoo发表主题演讲凌 云赵 锐世界500强企业中国区信息安全和风险负责人,国家网络安全周(上海)网络安全金牌讲师、DevOps标准工作组核心编写专家,CSA云安全联盟专家、CCSF优秀首席信息安全官庄 飞金融机构应用安全负责人,15年+产品研发及安全从业经历,DevOps峰会金牌讲师,DevOps标准编写专家,曾在EISS、DOIS、TiD,CIS
4、等峰会发表主题演讲张 祖 优腾讯云产品安全负责人,腾讯安全云鼎实验室高级安全工程师,12年安全攻防经验,曾在KCon、WOT、ISF、QCon、BlackHat、网络安全创新大会、DevOps在线峰会等发表主题演讲,Seebug创始人,Pocsuite核心开发者DevSecOps企业实践白皮书CHAPTERONE第一章 2020DevSecOps国内发展现状1.1 DevOps 安全挑战及转型1.2 DevSecOps 国内发展现状0202052CHAPTERTWO第二章DevSecOps 合规趋势:研发运营一体化(DevOps)能力成熟度模型 3CHAPTERTHREE第三章企业 DevSe
5、cOps落地与指导 07080809073.1 DevSecOps 落地挑战3.2 DevSecOps 落地与指导3.2.1 安全文化变革3.2.2 安全左移流程3.2.3 构建DevSecOps工具链目 录C A T A L O GDevSecOps企业实践白皮书4CHAPTERFOUR第四章某金融机构DevSecOps 实践4.1 安全背景简介151521221414156CHAPTERSIX第六章总结与展望 5.4 企业安全工具链实践5.4.1 开源组件安全扫描(SCA)5.4.2 源代码安全扫描(SAST)5.4.3 交互式应用安全测试(IAST)5.4.4 越权检测5.4.5 数据库
6、审计5.4.6 漏洞全生命周期管理5CHAPTERFIVE第五章携程 DevSec-Ops 实践 5.1 安全背景介绍5.2 企业安全文化建设5.3 企业安全流程建设6.1 头部行业加快实践步伐6.2 实践需贴合企业属性6.3 安全是每个人的责任262627283031252526333334264.2 企业安全文化建设4.3 企业安全流程建设4.3.1 安全策略4.3.2 安全活动及工具链应用4.3.4 企业安全平台实践4.3.5 DevSecOps安全度量指标CHAPTERONE第一章 2020DevSecOps国内发展现状第一章 2020 DevSecOps 国内发展现状安全必须要积极转
7、型,适应DevOps全新的开发过程,在此趋势下,DevSecOps应运而生。随着技术的不断发展,软件开发模式也在不断变化。从传统的瀑布式到敏捷(Agile)、精益(Lean),越来越多的公司开始采用DevOps。DevOps主张在软件开发生命周期的所有步骤实现自动化和监控,缩短开发周期,增加部署频率。根据中国信息通信研究院发布的 中国DevOps现状调查报告(2019年)显示,采用DevOps实践可获得研发效率的显著提升,极大提升交付速度。因为DevOps能够给企业带来的诸多益处,目前已成为企业软件研发的主流模式。1.1 DevOps 安全挑战及转型企业在向DevOps快速转型,产品交付质量和
8、速度都在快速提升,而安全资源的缺乏以及传统安全运营模式,却阻碍了DevOps的发展。对于大部分开发团队而言,安全是比较孤立的,大部分开发和运维人员没有接受过安全编码和安全实践的培训,使得安全与开发是分割的。Gartner在2015年数据中心和信息安全峰会的调研报告显示,安全已经成为IT DevOps发展的阻碍。如下图所示,经过调研,大部分安全人员和研发人员都认为,安全降低了IT对于业务需求的响应速度。0202图:信息安全专家:安全是否阻碍 IT 速度?图:IT 运营专家:安全是否阻碍 IT 速度?DevSecOps最早由Gartner咨询公司研究员David Cearley在2012年首次提出
9、。2016年9月,Gartner发布报告 DevSecOps:How to Seamless-ly Integrate Security into DevOps,对该模型及配套解决方案进行详细分析,核心理念为:安全是整个IT团队(包括开发、测试、运维及安全团队)所有成员的责任,需要贯穿整个业务生命周期的每一个环节。DevOps的核心价值是快速交付价值,灵活响应变化。相应的,DevSec-Ops价值是在不牺牲所需安全性的前提下,快速和规模地交付安全决策。1.2 DevSecOps 国内发展现状DevSecOps的出现是为了改变和优化之前安全工作的一些现状,比如安全测试的孤立性、滞后性、等问题,通
10、过固化流程、加强不同人员协作,通过工具、技术手段将可以自动化、重复性的安全工作融入到研发体系内,让安全及合规作为属性嵌入到DevOps开发运营一体化中,在保证业务快速交付价值的同时实现安全内建(Build Secuirty In),降低IT安全风险。根据GitLab近期发起的第四次年度全球DevSecOps年度调查,超过25的开发人员表示对安全性完全负责,而33的安全团队成员表示他们拥有安全性。共有29的人认为每个人都应对安全负责。2020 DevSecOps企业实践白皮书可以看到,DevSecOps逐渐深入人心。虽然国内的DevSecOps落地仍然处于发展阶段,但很多国内企业已经意识到Dev
11、SecOps的重要性。随着DevOps的深度实践,工作流程越来越规范、工具和应用场景也越来越丰富。在此趋势下,国内陆续涌现出了一批专注DevSecOps的创新安全厂商,通用技术方案被越来越多的行业头部用户所采纳。此外,DevSecOps的合规和治理也在国内持续推动中,关键标志之一就是全球首个DevOps标准的发布 研发运营一体化(DevOps)能力成熟度模型。其中第六部分 安全及风险管理 对DevOps全链路中开发、交付、运营等过程的安全风险控制进行规范要求,为企业安全风险管控手段和能力提升提供有效引导,帮助企业更好的落地实践DevSecOps。CHAPTER ONE032020 DevSec
12、Ops企业实践白皮书2020 DevSecOps企业实践白皮书2CHAPTERTWO第二章DevSecOps 合规趋势:研发运营一体化(DevOps)能力成熟度模型 CHAPTER TWO052020 DevSecOps企业实践白皮书第二章 DevSecOps 合规趋势:研发运营一体化 (DevOps)能力成熟度模型DevOps 标准的雏形 互联网应用运维框架及能力模型 初稿于2015年开始编写,七位专家在编写过程中发现,仅靠运维无法解决所有问题,无法真正体现业务价值,因此开始寻求更好的方向。2017年底,为了更多的中小互联网企业以及传统企业能复用互联网、通信及金融等企业在DevOps领域积累
13、的先进技术,中国信息通信研究院云计算开源产业联盟(OSCAR)联合高效运维社区、DevOps时代、腾讯、京东等行业顶级技术专家100多名,共同编写制定了全球首个DevOps系列标准 研发运营一体化(DevOps)能力成熟度模型。该系列标准分为敏捷开发管理、持续交付、技术运营、应用设计、安全风险管理和组织结构7个部分,涵盖了全软件的开发和运维生命周期,为构建云时代下的新型软件开发与运营模式奠定坚实的基础。2018年7月16-27日,在瑞士日内瓦举行的ITU-T*(国际电信联盟)Study Group13 Future networks(&cloud)全会上,来自中国、美国、英国、德国、几内亚、日
14、本、韩国、俄罗斯联邦、沙特阿拉伯、泰国、塞内加尔等20多个国家的90多名代表参与了此次会议。由中国信息通信研究院主导的DevOps国际标准项目成功立项,立项名称为:“Cloud comput-如上图,信通院在 中国DevOps现状调查报告(2019年)中,曾针对企业实施安全管理的现状、添加自动化安全分析的阶段、专业安全团队的配比等方面做了调研:近7成的企业在安全与风险管理成熟度分布上仍处于初始级与基础级,仅有5.2%的企业达到了优秀级。由此也能看出大部分企业仍未给予安全管理足够的重视。随着 研发运营一体化(DevOps)能力成熟度模型 框架的逐渐完善,将对DevOps全链路中开发、交付、运营等
15、过程的安全风险控制进行规范要求,为企业安全风险管控手段和能力提升提供有效引导,并真正助力DevOps应用的全生命周期安全管理。ing-Requirements for cloud service development and operation management”。研发运营一体化(DevOps)能力成熟度级别分成五级,分别是:1级-初始级:在组织局部范围内开始尝试DevOps活动并获得初期效果;2级-基础级:在组织较大范围内推行DevOps实践并获得局部效率提升;3级-全面级:在组织内全面推行DevOps实践并贯穿软件全生命周期获得整体效率提升;4级-优秀级:在组织内全面落地DevOps
16、并可按需交付用户价值达到整体效率最优化;5级-卓越级:在组织内全面形成持续改进的文化并不断驱动DevOps在更大范围内取得成功。DevSecOps相关细则作为风险管理主题出现在 研发运营一体化(DevOps)能力成熟度模型 的第六章节。主要是安全考量和全局规划,包括:控制总体风险、控制开发过程风险、控制交付过程风险、控制运营过程风险。安全与风险管理成熟度分布39.41%35.87%19.52%5.20%0.00%初始级基础级全面级优秀级卓越级注释:ITU 和 ISO、IEC 并称国际三大标准化组织。ITU(国际电信联盟)是联合国的国际标准组织,成立于1865年(比联合国还早80年),是193个
17、主权国家的政府间组织。ITU 和 国际原子能机构、国际货币基金组织和教科文组织并列,均为联合国专门机构。3CHAPTERTHREE第三章企业 DevSecOps落地与指导 CHAPTER THREE07未建立专业安全团队65.02%第三章 企业 DevSecOps 落地与指导由于DevSecOps仍然处于初始阶段,还没有一个通用化的标准或实践指南,并没有很多成熟经验可以借鉴,企业在落地之初主要遇到的挑战如下:安全人才短缺根据 中国DevOps现状调查报告(2019年),有65.02%的企业仍未建立专业安全团队。事实上,大多数企业仍处于“一个人的安全部”的现状,日常工作主要承担防火墙、安全监测、
18、补丁管理、病毒管理等较传统的网络安全工作。近年随着安全越来越被重视,企业开始成立独立的安全团队,然而大部分仅仅是IT人员的扩张,专业的安全人员比例却在降低。3.1 DevSecOps 落地挑战图 中国 DevOps 现状调查报告(2019 年)-专业安全团队比例低由于DevSecOps需要安全左移,安全需要和研发更紧密的协作。而安全人才市场面临着极大的缺口,缺乏专业的安全人员,便可能导致和研发沟通不畅,因而影响安全和DevOps嵌入的效率。文化的挑战安全通常是作为独立组织存在,且与研发和运营分开。此外,在IT人员的概念中,安全往往会增加IT人员额外的工作量,拖累项目的进度甚至延期,因而IT人员
19、与安全往往站在对立面。同时研发人员和运营人员大都不懂安全。由此造成的文化与意识壁垒,一时间很难打破。安全知识和技能薄弱DevSecOps需要研发、运维及安全人员协作,共同承担安全职责,可站在对方的视角看待问题。但是对于研发和运维人员来说,往往缺少安全意识及技能,在系统设计开发及部署运维等环节,无法高效协同保障安全性。安全与研发流程割裂安全测试工具有很多种类,如源代码安全扫描、黑盒安全测试、开源组件安全测试、主机安全测试等。这些安全测试工具通常为独立的工具及单独的Web页面,需要研发人员分别登录查看漏洞及修复,部分测试工具的扫描时间可能还会长达小时级。由于安全与研发流程的割裂,便会影响DevOp
20、s的快速迭代。专业安全团队比例已建立专业安全团队34.98%CHAPTER THREE072020 DevSecOps企业实践白皮书3.2 DevSecOps 落地与指导伴随着DevSecOps战略框架的日趋完善,国内相关行业的建设也迅速开展起来。总体来说,基于Gartner DevSecOps理念,企业需要从文化、流程及技术三方面切入,通过固化流程、加强人员协作以及工具化、自动化技术手段将安全无缝内嵌到研发流程中,从而实现企业DevSecOps落地。DevSecOps实质上是对传统IT文化的变革,因此落地的推动往往需要获取上层支持,通过意识宣贯及安全培训等手段,改变只有安全人员对安全负责的态
21、度和观念,让研发团队及运维团队到每个人都需要对安全负责。好的DevSecOps文化能够支持更严格的安全策略的贯彻执行。在有着优良企业安全文化的团队中,安全自然成为了一种共同的责任,在这种文化之下,不同业务部门间的鸿沟会相对更为容易跨越,在问题出现的时候,也会得到最早地解决。3.2.1 安全文化变革Gartner给出建议,不要强制DevOps开发人员采用安全人员的旧的流程。相反地,将安全保证措施无缝集成到开发的持续集成(CI)和持续部署(CD)的工具链中。详细来讲,针对安全工作的阶段左移,需要在软件开发的初期就介入进来。从安全需求定义、威胁建模、安全扫描、安全黑盒测试等多个方面进行安全能力内建,
22、如安全需求导入至统一需求管理流程与工具、安全测试工具集成到CI持续集成和CD持续部署、安全漏洞结果导入到缺陷管理工具等,由此顺利衔接安全与研发相关工具及流程。3.2.2 安全左移流程图 安全建设安全活动干系人082020 DevSecOps企业实践白皮书图 DevSecOps 工具链企业从关注安全到实现落地,需要切实地进行投入,包括开发、测试、运营过程中的流程规范、实践,在此过程中,离不开各项工具平台的建设。将流程和工具完美结合,通过将安全能力内建到工具中,也是DevSecOps 落地中关键的一环。在DevSecOps理念的发展过程中,一直是在不断演变且逐渐成熟,但不同阶段的理论成熟度与实践也
23、存在较大的差异化。在本报告中我们尝试基于Gartner输出的DevSecOps工具链对其不同阶段进行解读。DevSecOps主要分为10个阶段,分别是计划(Plan)、创建(Create)、验证(Verify)、预发布(Preprod)、发布(Release)、预防(Prevent)、检测(Detect)、响应(Respond)、预测(Predict)、适应(Adapt),其中预防(Prevent)在之前的版本里也有叫做配置(Configure)。计划阶段是DevSecOps的第一个阶段,其包含了SDL模型里培训、需求、设计等几个阶段,主要关注的是开发前的安全动作。根据Gartner官方工具链
24、模型可以看出其主要是包含有偿还技术安全债务、安全开发衡量指标、威胁建模、安全工具培训。技术债务指开发人员为了加速软件开发,在应该采用最佳方案时进行了妥协,改用了短期内能加速软件开发的方案,从而在未来给自己带来的额外开发负担。那么对应的技术安全债务就是相关技术架构中一些考虑不完善的点而潜藏的安全风险,一般就是在安全设计或者需求阶段没有进行相关的安全设计和评估而导致,在后续的安全工作里都是需要认识其风险并且给出安全解决方案逐渐偿还。举个例子,比如在一些项目的开发过程中为了快速实现功能,选用了一些不安全的框架,那么在后续的维护过程中可能会不断受其安全问题影响而需要不断的进行修复,比如说struts2
25、,那么安全团队应该给出方案,比如说禁用替换该组件。安全开发衡量指标为需要制定对应的安全开发的衡量指标,以便于评估安全开发模型实施的效果,比如漏洞发现率,统计上线前后漏洞的发现情况,来评估安全开发流程是否有效在安全开发过程中有效收敛安全漏洞。威胁建模是在需求和设计阶段识别和消减安全威胁的一种手段,如SDL里微软提出的“STRIDE”,基于数据流图去识别不同环节是否存在仿冒、篡改、抵赖、信息泄露、拒绝服务、权限提升几个维度的安全威胁,并制定对应的消减措施,落实并验证。这里还有个概念是轻量的威胁建模,相对比“STRIDE”这种传统意义上比较复杂的威胁建模过程,轻量的威胁建模通常通过安全checkli
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DevSecOps 企业实践白皮书 企业 实践 白皮书
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【宇***】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【宇***】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。