古风君子以泽,欢乐颂第三季,完结小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

DevSecOps敏捷安全技術(shù)金字塔V3.0正式發(fā)布

?2022年12月28日，由懸鏡安全主辦，3S-Lab軟件供應(yīng)鏈安全實(shí)驗(yàn)室、Linux基金會(huì)OpenChain社區(qū)、ISC、OpenSCA社區(qū)聯(lián)合協(xié)辦的第二屆全球DevSecOps敏捷安全大會(huì)（DSO 2022）已通過(guò)全球直播的形式圓滿舉行。本屆大會(huì)以“共生·敏捷·進(jìn)化”為主題，以“敏捷共生，守護(hù)中國(guó)軟件供應(yīng)鏈安全”為使命，聚焦DevSecOps敏捷安全、軟件供應(yīng)鏈安全和云原生安全三大典型應(yīng)用場(chǎng)景下的新技術(shù)、新態(tài)勢(shì)、新實(shí)踐。

10年積累的成都網(wǎng)站制作、網(wǎng)站建設(shè)經(jīng)驗(yàn)，可以快速應(yīng)對(duì)客戶對(duì)網(wǎng)站的新想法和需求。提供各種問(wèn)題對(duì)應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識(shí)你，你也不認(rèn)識(shí)我。但先建設(shè)網(wǎng)站后付款的網(wǎng)站建設(shè)流程，更有蘭西免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

會(huì)上，大會(huì)出品人、懸鏡安全創(chuàng)始人子芽以“DevSecOps敏捷安全技術(shù)演進(jìn)洞察（2022）”為主題，圍繞DevSecOps敏捷安全技術(shù)演進(jìn)趨勢(shì)以及關(guān)鍵技術(shù)應(yīng)用實(shí)踐作了精彩分享，并正式發(fā)布了行業(yè)期待已久的第三版DevSecOps敏捷安全技術(shù)金字塔。

下面讓我們一同揭秘“DevSecOps敏捷安全技術(shù)金字塔V3.0”。

什么是DevSecOps敏捷安全技術(shù)金字塔？

隨著企業(yè)數(shù)字化轉(zhuǎn)型加速，更多的數(shù)字資產(chǎn)和員工處于傳統(tǒng)企業(yè)基礎(chǔ)設(shè)施邊界之外，同時(shí)，各式各樣數(shù)字化轉(zhuǎn)型而來(lái)的新業(yè)務(wù)和新技術(shù)也成為企業(yè)安全團(tuán)隊(duì)的保護(hù)對(duì)象。企業(yè)若想應(yīng)對(duì)未來(lái)高級(jí)威脅和復(fù)雜場(chǎng)景的挑戰(zhàn)，支持內(nèi)生自免疫、敏捷自適應(yīng)、共生自進(jìn)化的積極防御安全架構(gòu)成了必要選擇，安全功能應(yīng)可拆分成諸多原子化的安全能力，具備離散式制造、集中式交付、統(tǒng)一化管理、智能化應(yīng)用等關(guān)鍵能力，進(jìn)而通過(guò)控制層編排組合成適應(yīng)不同業(yè)務(wù)場(chǎng)景安全要求的敏捷工具鏈和體系化方案。

在這樣的大背景下，DevSecOps敏捷安全技術(shù)金字塔應(yīng)運(yùn)而生，它是DSO敏捷安全大會(huì)出品人子芽基于長(zhǎng)期DevSecOps敏捷安全技術(shù)前沿研究探索成果和懸鏡安全團(tuán)隊(duì)在軟件供應(yīng)鏈安全和云原生安全領(lǐng)域多年的應(yīng)用實(shí)踐沉淀匯聚而來(lái)，融合了國(guó)內(nèi)外行業(yè)頭部企業(yè) “安全左移，從源頭做風(fēng)險(xiǎn)治理”和“敏捷右移，安全運(yùn)營(yíng)敏捷化”的實(shí)踐思想，并持續(xù)內(nèi)涵了“出廠自免疫、敏捷自適應(yīng)、共生自進(jìn)化”的關(guān)鍵特性（關(guān)注‘懸鏡安全’官方公眾號(hào)，即可參考子芽專業(yè)著作《DevSecOps敏捷安全》，了解更多”）。其中，不同敏捷安全技術(shù)棧落入金字塔不同實(shí)踐階層的重點(diǎn)考量主要圍繞“技術(shù)創(chuàng)新度、產(chǎn)品成熟度和市場(chǎng)需求度”三個(gè)維度展開。

圖1 DevSecOps敏捷安全技術(shù)金字塔V3.0

DevSecOps敏捷安全技術(shù)金字塔V3.0有什么新變化？

圖2 DevSecOps敏捷安全技術(shù)金字塔-演進(jìn)對(duì)比

作為DevSecOps敏捷安全技術(shù)的引領(lǐng)指南，本次發(fā)布的3.0版本不僅延續(xù)了敏捷安全技術(shù)分層與企業(yè)組織DevSecOps成熟度非正比關(guān)系的編排原則，還引入了跨領(lǐng)域新技術(shù)與敏捷安全技術(shù)進(jìn)行深入的實(shí)踐融合。本次DevSecOps敏捷安全技術(shù)金字塔V3.0根據(jù)不同階段相關(guān)技術(shù)的應(yīng)用成熟度和落地效果進(jìn)一步細(xì)化了敏捷安全應(yīng)用實(shí)踐的階層，包含傳統(tǒng)建設(shè)層、應(yīng)用實(shí)踐層（敏捷安全實(shí)踐第一層）、技術(shù)探索層、效果度量層和卓越層（最高層）共五個(gè)階段，下面將逐一進(jìn)行技術(shù)解碼：

傳統(tǒng)建設(shè)層：WAF、EDR、Deception、CKS、ASTs

從網(wǎng)絡(luò)安全技術(shù)演進(jìn)和傳統(tǒng)縱深防御體系構(gòu)筑的視角，典型實(shí)用的安全技術(shù)主要分為邊界流量分析技術(shù)、端點(diǎn)環(huán)境檢測(cè)響應(yīng)技術(shù)和應(yīng)用情境感知響應(yīng)技術(shù)。

在金字塔V3.0中，懸鏡安全首次將Deception（攻擊欺騙）和CKS（容器和K8s安全）納入并置于傳統(tǒng)建設(shè)層，主要是考慮到趨勢(shì)發(fā)展和相關(guān)應(yīng)用實(shí)踐的成熟性，子芽提出，它們已經(jīng)成為不同企業(yè)在不同場(chǎng)景下的基本應(yīng)用要求。以CKS為例，隨著容器和微服務(wù)等新型基礎(chǔ)設(shè)施的日益普及和CKS技術(shù)門檻的大幅度降低，該技術(shù)被視為傳統(tǒng)安全體系建設(shè)過(guò)程中基本具備的安全能力。

作為傳統(tǒng)縱深防御關(guān)鍵技術(shù)的WAF、EDR以及ASTs依然入選。其中ASTs包括了SAST（白盒）、DAST（黑盒）和MAST（移動(dòng)應(yīng)用安全）三種傳統(tǒng)應(yīng)用安全測(cè)試技術(shù)，子芽也提到，AST技術(shù)存在進(jìn)一步的融合趨勢(shì)。

應(yīng)用實(shí)踐層：IAST、SCA、RASP、BAS

在應(yīng)用實(shí)踐層中，涵蓋了四種既能在日常應(yīng)用實(shí)踐過(guò)程中具備較好應(yīng)用效果，又能與DevOps CI/CD管道柔和融合的創(chuàng)新技術(shù)。

其中，RASP（Runtime Application Self-protection，運(yùn)行時(shí)應(yīng)用自我保護(hù)）由于在0DAY未知漏洞攻擊防御、API威脅免疫、紅藍(lán)對(duì)抗、軟件供應(yīng)鏈攻擊防御及應(yīng)用東西向威脅流量檢測(cè)響應(yīng)過(guò)程中相對(duì)出色的表現(xiàn)預(yù)期以及技術(shù)性能的大幅度提升，日漸被市場(chǎng)青睞，從過(guò)往所處的技術(shù)探索層踴躍至DevSecOps敏捷安全技術(shù)實(shí)踐的第一層。子芽預(yù)測(cè)，在接下來(lái)的三年中，RASP在HW、紅藍(lán)對(duì)抗等場(chǎng)景下會(huì)有更加廣泛的市場(chǎng)應(yīng)用。

此外，子芽著重強(qiáng)調(diào)，在這一層中，IAST和RASP的深度融合是大勢(shì)所趨。隨著運(yùn)行時(shí)智能插樁、應(yīng)用威脅情境感知和API智能檢測(cè)響應(yīng)等關(guān)鍵技術(shù)的創(chuàng)新與突破，以IAST和RASP為核心的代碼疫苗技術(shù)迎來(lái)了蓬勃發(fā)展期。通過(guò)單探針的形式，代碼疫苗技術(shù)不僅能在測(cè)試環(huán)境中實(shí)現(xiàn)應(yīng)用風(fēng)險(xiǎn)檢測(cè)以及API挖掘和覆蓋分析，還能賦能數(shù)字化應(yīng)用實(shí)現(xiàn)攻擊威脅的出廠免疫以并提供運(yùn)行時(shí)敏感數(shù)據(jù)追蹤等關(guān)鍵能力，實(shí)現(xiàn)檢測(cè)響應(yīng)一體化，支持軟件供應(yīng)鏈攻擊防御、0DAY未知漏洞攻擊防御、應(yīng)用東西向威脅流量檢測(cè)響應(yīng)、無(wú)文件攻擊檢測(cè)響應(yīng)、漏洞攻擊全鏈路回溯及API威脅免疫等復(fù)雜應(yīng)用場(chǎng)景。

圖3 All in one：“代碼疫苗”單探針深度融合

技術(shù)探索層：DRA、SDE、Fuzzing

作為DevSecOps敏捷安全技術(shù)實(shí)踐的第二層，引入的創(chuàng)新技術(shù)都是具備強(qiáng)技術(shù)突破性，可具體解決某類應(yīng)用場(chǎng)景下突出問(wèn)題，但在通用應(yīng)用效果、市場(chǎng)需求和實(shí)踐方面還有巨大提升潛力的前瞻性技術(shù)。

DRA（Data Risk Assessment，數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估）是首次引入金字塔的創(chuàng)新技術(shù)。在子芽看來(lái)，DRA作為開展數(shù)據(jù)安全治理工作的基礎(chǔ)，主要關(guān)注數(shù)據(jù)安全風(fēng)險(xiǎn)包括數(shù)據(jù)傳輸、個(gè)人隱私、數(shù)據(jù)生命周期管理、技術(shù)漏洞等，不但受國(guó)家法律和監(jiān)管要求的強(qiáng)推動(dòng)，而且是DevSecOps敏捷安全技術(shù)實(shí)戰(zhàn)需求。對(duì)此子芽指出，隨著DevSecOps敏捷安全技術(shù)應(yīng)用實(shí)踐的深入，敏捷安全體系的建設(shè)不再只關(guān)注應(yīng)用級(jí)別的漏洞和外部攻擊威脅，還將進(jìn)一步深入到敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)評(píng)估和治理工作。

同樣作為首次引入金字塔的創(chuàng)新技術(shù)，SDE（Securing Development Environment，開發(fā)環(huán)境安全）涉及保護(hù)完整的軟件開發(fā)環(huán)境，包括但不限于源代碼存儲(chǔ)庫(kù)、CI/CD 管道、應(yīng)用程序工件和用戶身份信息。鑒于軟件供應(yīng)鏈攻擊、開源工具的廣泛使用以及遠(yuǎn)程工作方式導(dǎo)致的風(fēng)險(xiǎn)增加，保護(hù)開發(fā)環(huán)境變得至關(guān)重要。子芽認(rèn)為，透過(guò)近年來(lái)的RSAC創(chuàng)新沙盒大賽可以發(fā)現(xiàn)，代碼安全和開發(fā)環(huán)境安全已然成為軟件供應(yīng)鏈安全的主要抓手，正呈現(xiàn)融合發(fā)展的趨勢(shì)。

這一層中第三個(gè)創(chuàng)新技術(shù)是連續(xù)三次引入金字塔的Fuzzing（API模糊測(cè)試），聚焦未知漏洞挖掘和異常風(fēng)險(xiǎn)發(fā)現(xiàn)。但子芽表示，受限于其獨(dú)特的技術(shù)原理和高應(yīng)用門檻，對(duì)常態(tài)化使用它的用戶有著較高的專業(yè)技能要求，且在檢測(cè)精度、技術(shù)性能上有較大提升空間，F(xiàn)uzzing未來(lái)仍需要一段時(shí)間才能成熟。

效果度量層：ASOC、CNAPP

作為DevSecOps敏捷安全技術(shù)實(shí)踐的第三層，引入的都是框架型平臺(tái)技術(shù)，側(cè)重于提升整個(gè)敏捷安全體系的運(yùn)營(yíng)效率，但在市場(chǎng)需求和實(shí)踐方面尚有巨大提升潛力。

ASOC（Application Security Orchestration and Correlation，應(yīng)用安全編排與關(guān)聯(lián)）也是首次引入金字塔的創(chuàng)新技術(shù)。子芽介紹到，它是由過(guò)往版本金字塔中的ASTO（Application Security Testing Orchestration，應(yīng)用安全測(cè)試自動(dòng)化編排）和AVC（Application Vulnerability Correlation，應(yīng)用程序漏洞關(guān)聯(lián)）兩項(xiàng)技術(shù)合并而成，核心優(yōu)勢(shì)在于可以較大程度提高DevSecOps的運(yùn)行效率，可將面向應(yīng)用安全（Appsec）的DevSecOps敏捷安全工具鏈真正運(yùn)營(yíng)起來(lái)，是安全左移實(shí)踐思想的重要落地抓手。ASTO強(qiáng)調(diào)的是向下編排安全工具鏈，以智能自動(dòng)化的方式來(lái)完成安全活動(dòng)；AVC則從漏洞入手，針對(duì)各種AST工具長(zhǎng)久以來(lái)無(wú)法解決的誤報(bào)、重復(fù)等問(wèn)題，引入漏洞關(guān)聯(lián)分析手段協(xié)助用戶進(jìn)行更好的修復(fù)優(yōu)先級(jí)判斷。

CNAPP（Cloud-Native Application Protection Platform，云原生應(yīng)用保護(hù)平臺(tái)）同樣是首次引入，它不是簡(jiǎn)單拼湊工具，而是一個(gè)云原生安全框架型技術(shù)，通過(guò)將現(xiàn)有的云安全技術(shù)融合到一個(gè)統(tǒng)一的面向應(yīng)用全生命周期的解決方案中，并將已經(jīng)存在的單點(diǎn)防護(hù)進(jìn)行整合，實(shí)現(xiàn)了從代碼開發(fā)到構(gòu)建再到部署運(yùn)行整個(gè)應(yīng)用生命周期的安全可視化以及安全防護(hù)，子芽指出，從這個(gè)角度理解，CNAPP是安全左移的典型表現(xiàn)。它同樣也是敏捷右移實(shí)踐思想的重要落地抓手，重點(diǎn)從保護(hù)基礎(chǔ)設(shè)施轉(zhuǎn)向保護(hù)工作負(fù)載和在這些工作負(fù)載上運(yùn)行的應(yīng)用程序，可在統(tǒng)一平臺(tái)中執(zhí)行所有這些功能，幫助消除DevSecOps流程中的摩擦。

卓越層：CARTA

作為DevSecOps敏捷安全技術(shù)實(shí)踐的最高層，也是DevSecOps敏捷安全體系建設(shè)的終極愿景，連續(xù)三年被CARTA占據(jù)。CARTA（Continuous Adaptive Risk and Trust Assessment，自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估）從規(guī)劃、構(gòu)建、運(yùn)營(yíng)三個(gè)維度動(dòng)態(tài)評(píng)估企業(yè)的數(shù)字化業(yè)務(wù)在整個(gè)軟件全生命周期中面臨的風(fēng)險(xiǎn)和信任，不追求零風(fēng)險(xiǎn)，不要求100%信任，持續(xù)構(gòu)建一個(gè)信任和彈性的研運(yùn)一體化安全環(huán)境，使得企業(yè)組織能夠敏捷地、和業(yè)務(wù)共生地、持續(xù)進(jìn)化地參與到軟件供應(yīng)鏈安全建設(shè)和保障中去。

圖4 CARTA自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估框架

子芽重點(diǎn)提到，網(wǎng)絡(luò)安全的本質(zhì)是風(fēng)險(xiǎn)和信任的動(dòng)態(tài)平衡。DevSecOps不是安全開發(fā)和安全運(yùn)營(yíng)的簡(jiǎn)單結(jié)合，安全開發(fā)的終點(diǎn)也不能簡(jiǎn)單歸結(jié)為漏洞處置，安全運(yùn)營(yíng)的終點(diǎn)亦不能簡(jiǎn)單歸結(jié)為威脅響應(yīng)，而是應(yīng)以終（漏洞處置和威脅響應(yīng)）為始，回歸應(yīng)用和體系，以人為本，結(jié)合智能自動(dòng)化技術(shù)實(shí)現(xiàn)共生、敏捷、進(jìn)化的安全新局面，形成真正意義上的應(yīng)用全生命周期持續(xù)安全大循環(huán)，這才是DevSecOps敏捷安全體系建設(shè)的終極愿景，也正是DevSecOps莫比烏斯環(huán)所真正象征的意義。

DevSecOps敏捷安全技術(shù)如何落地？

最后，子芽分享了DevSecOps在落地過(guò)程中的輕量級(jí)應(yīng)用實(shí)踐指南。輕量級(jí)是指該指南不是簡(jiǎn)單面向DevSecOps敏捷安全技術(shù)金字塔所囊括的所有技術(shù)，力求能結(jié)合企業(yè)自身安全體系建設(shè)現(xiàn)狀在短中期內(nèi)達(dá)到一定的實(shí)踐效果，幫助企業(yè)用戶逐步構(gòu)筑一套適應(yīng)自身業(yè)務(wù)彈性發(fā)展、面向敏捷業(yè)務(wù)交付并引領(lǐng)未來(lái)架構(gòu)演進(jìn)的安全開發(fā)運(yùn)營(yíng)共生體系，兼顧文化、流程、技術(shù)演進(jìn)和持續(xù)度量。

圖5DevSecOps輕量級(jí)應(yīng)用實(shí)踐指南

DevSecOps敏捷安全技術(shù)金字塔V3.0的發(fā)布，又一次刷新了行業(yè)力量對(duì)軟件供應(yīng)鏈安全體系建設(shè)的新認(rèn)知，全方位、系統(tǒng)性、深層次地把脈了DevSecOps敏捷安全技術(shù)的未來(lái)演進(jìn)趨勢(shì)、軟件供應(yīng)鏈安全領(lǐng)域技術(shù)創(chuàng)新研究和落地實(shí)踐的進(jìn)化方向，更以實(shí)際行動(dòng)推動(dòng)安全產(chǎn)業(yè)生態(tài)共建、共治、共享，傳遞和初步踐行了DSO敏捷安全大會(huì)“敏捷共生，守護(hù)中國(guó)軟件供應(yīng)鏈安全”的使命。

分享名稱：DevSecOps敏捷安全技術(shù)金字塔V3.0正式發(fā)布
網(wǎng)頁(yè)地址：http://m.fisionsoft.com.cn/article/djpdjde.html

新聞中心

其他資訊