? ? ? ?2021 GOLF+ IT新治理領導力論壇于2021年12月24日線上召開。本次大會旨在“新治理融惠創新，數字化行穩致遠”，圍繞“治效兼顧，構筑科技治理新生態”和“XOPS創新，領航運維發展新脈絡”兩大主題展開。

? ? ? ?網絡安全作為2021年全球熱門關鍵詞，是IT新治理模式下不可或缺的話題。本次論壇特設“安全與風險治理分論壇”。將針對當前復雜的科技風險治理環境，邀請以金融行業、通信行業為主的一線研發運營安全一體化（DevSecOps）、軟件供應鏈安全技術實踐者，以及模型風險治理的行業專家，就當前在該領域獲得的研究成果、實踐經驗心得等議題展開探討，從不同角度分析科技治理過程中存在的風險和安全隱患，互通切實可行的治理方法與技術手段，共同維護網絡安全，為政府和企業營造安全可控的網絡空間環境。

? ? ? ?中國信通院云計算與大數據研究所治理與審計部工程師劉凱鈴于“安全與風險治理分論壇”發表《安全賦能，質效雙增——DevSecOps標準權威解讀》主題演講。

? ? ? ?【演講實錄】

? ? ? ?大家好，我是來自中國信通院云計算與大數據研究所治理與審計部的劉凱鈴。今天跟大家分享的內容是《安全賦能質效雙增——DevSecOps標準解讀》，主要包括整體DevOps能力成熟度模型系列標準的簡介，以及DevSecOps安全及風險管理標準的內容解讀。

? ? ? ?傳統的運維模式逐步向DevOps研發運營一體化模式轉變。隨著用戶需求的日益增長，包括對于產品交付的快速響應、快速實現、高質量要求，以及來自團隊內部的壓力和企業數字化轉型的迫切需求，業務需求和技術創新并行驅動著軟件開發模式發生巨大變革，進而推動DevOps落地。

? ? ? ?一、業務需求。隨著我國企業的數字化、信息化發展，企業業務規模、模式也發生巨大改變，對于業務需求變化響應時間提出了更高和更新的要求。

? ? ? ?二、技術創新。部署環境、應用架構以及基礎設施各個方面都非常有利于DevOps落地。由于傳統開發模式的開發周期長、價值體現節點晚，難以適應軟件需求的快速變化，且無法覆蓋軟件開發全生命周期，開發模式從上世紀70年代傳統的瀑布式開發模式向現今的DevOps模式演進。

? ? ? ?2018年，中國信通院聯合互聯網、金融、通信行業在內的業界頭部企業專家，共同編制立項了《研發運營一體化DevOps能力成熟度模型》系列標準。

? ? ? ?這個系列標準總體分為八部分。第一部分是總體架構，對后續系列標準中的內容進行了全面介紹。第二到第四部分描述了DevOps的過程域，包括敏捷開發管理、持續交付和技術運營。從第五部分開始，主要是DevOps過程支撐的能力要求，包括應用設計、安全風險管理、評估方法和系統工具的技術要求。目前其中七個部分已編制完成。

? ? ? ?去年7月ITU-T（國際電信聯盟）全會上，由信通院主導的首個DevOps國際標準于全會通過,成功獲批。它對云計算技術下的云服務開發和運維管理需求提出了要求，也是國際上首個針對DevOps的國際標準。

? ? ? ?DevOps是“開發（Dev）”和“運維（Ops）”的縮寫，是一組過程、方法和系統的統稱，強調業務人員及IT專業人員（開發、測試和運維運營等），在應用和服務全生命周期中的協作和溝通。強調整個組織的合作以及交付和基礎設施變更的自動化，從而實現持續集成、持續部署、持續交付等無縫集成銜接。

? ? ? ?DevSecOps是將信息安全的框架整合到DevOps工作流程中，將研發、測試、運營、安全多個部門緊密合作，在提升開發和運維敏捷性的同時，也保障數據和服務的可用性和安全性。

? ? ? ?在傳統的開發模式中，安全在軟件測試時才開始介入，安全部門獨立于開發和運維團隊而存在。2012年，Gartner首次在報告中提出了DevOpsSec這個概念。2017年的RSA大會上，DevSecOps首次成為熱門詞匯，它是對DevOps的延展，它提出安全是每個人的責任。

? ? ? ?DevOps的落地實踐帶動了DevSecOps的興起。它強調將信息安全的能力整合到DevOps工作流程中，強調人人要為安全負責。

? ? ? ?上圖是在調查中整理出的中國DevSecOps現狀報告。報告顯示，目前已有53%的受訪者所在企業引入了DevSecOps，近5成企業有專業的安全團隊，與2020年相比增長了一成，企業非常關注安全能力的建設。

? ? ? ?上圖是安全及風險管理標準的框架。此標準是一種全新的安全理念和模式，強調安全是每個人的責任，將安全內嵌到應用的全生命周期。在安全風險可控的前提下，幫助企業提升IT效能，更好地實現DevOps研發運營一體化。

標準框架依據DevOps全生命周期劃分為四大部分，包括：控制總體風險或控制通用風險、控制開發過程風險、控制交付過程風險及控制運營過程風險。整體的框架主要強調四點內容，包括：人人為安全負責、將安全左移、全流程的安全內建及安全閉環。

? ? ? ?首先，控制通用風險。在DevOps模式下，安全內建于開發、交付、運營過程中，總體風險包括三個過程中的共性安全要求。

? ? ? ?一、組織建設與人員管理。強調在全過程中建立對應的組織，負責不同的安全職責，注重安全文化建設和安全意識培養。

? ? ? ?二、安全工具鏈。要求安全左移，將漏洞掃描、應用安全測試、開源合規、威脅建模、自動化漏洞掃描平臺等安全工具嵌入DevOps全生命周期。

? ? ? ?三、基礎設施管理。要求基礎設施在DevOps全生命周期中，提供安全、可靠、穩定、可持續的基礎環境以及支撐服務的平臺。

? ? ? ?四、第三方管理。第三方管理包括第三方人員、第三方機構、第三方軟件和第三方服務管理，這些都納入到安全和風險管理過程。

? ? ? ?五、數據管理。在DevOps過程中對涉及到的各類數據進行安全管理，利用制度、流程及工具化等手段保障數據安全性和完整性。

? ? ? ?六、度量與反饋改進。通過對研發、交付和運營過程的安全風險進行度量、展示并且反饋給團隊處理，實現持續的優化和改進。

? ? ? ?其次，控制開發過程風險。為了降低后續交付、運營中的安全風險，保障整體的安全,必須要提前實施安全風險管理工作。在應用的需求階段就進行安全風險控制，同時關注架構和設計的安全風險，并在開發過程中實施安全風險管理。

? ? ? ?一、需求管理。將安全工作左移，在應用的需求階段即進行安全風險控制，定義安全需求，并采取有效的措施和手段來控制開發過程的安全風險，包括安全需求定義、驗證和管理。

? ? ? ?二、設計管理。關注開發過程中架構和設計的安全風險。通過攻擊面的分析、威脅建模等手段，識別應用潛在的安全風險和威脅，制定措施，進行風險消減、規避，確保產品的安全性。

? ? ? ?三、開發過程管理。關注編碼過程的安全管理，以安全編碼方式實現功能。

? ? ? ?關于控制交付過程風險。安全交付是將安全內建到交付過程中，是實現安全運營的前提條件。通過將配置管理、構建管理、測試管理和部署與發布管理納入安全風險管理，使系統、產品、服務可以在安全、完整的最佳狀態下交付。

? ? ? ?配置管理關注源代碼相關的腳本依賴組件、發布制品、應用配置、環境配置等相關配置進行統一的安全管理，包括代碼審查、代碼保護機制、防篡改機制等。

? ? ? ?構建管理是指對安全的構建管理。它可以提升應用發布制品的安全性，可靠、可重復的構建過程有利于安全問題的避免和版本追溯。

? ? ? ?測試管理指在應用發布之前，通過安全測試發現并排除應用的安全缺陷，提高軟件安全質量。

? ? ? ?部署與發布管理關注安全流程和規范，通過發布與部署過程中的安全控制與低風險的發布機制，保障發布和部署交付物的安全管理能力。

? ? ? ?關于控制運營過程風險，要將安全內建于運營過程中，通過監控、運營、響應、反饋等實現技術運營過程中的安全風險閉環管理。

? ? ? ?這部分包括四個能力項。

? ? ? ?一、安全監控。對于運營過程中的安全進行監控，覆蓋業務場景與基礎運營環境，如病毒攻擊、DDoS攻擊、暴力破解等。

? ? ? ?二、運營安全。應用在運營過程中實施安全控制，識別、評估漏洞與缺陷，并降低或消除風險。也包括對運營過程中配置管理和變更管理等的安全管理。

? ? ? ?三、應急響應。針對運營過程中的安全事件、風險進行響應、跟蹤和處置，及時降低風險和影響，保障業務連續性。近日熱門漏洞事件就會運用到運營安全，包括應急響應等相關能力。

? ? ? ?四、運營反饋。關注運營過程中安全的動態性、持續性和整體性。通過對安全漏洞、缺陷和事件等的分析與反饋，實現從運營到開發過程的DevSecOps閉環管理。

? ? ? ?最后，安全及風險管理（DevSecOps）參評情況。去年12月，我們有幸針對三家企業的三個項目進行了首批試評估，包括工行、平安銀行和華泰證券，他們分別參評了安全開發、安全交付和安全運營。

? ? ? ?今年11月，我們針對五家企業的五個項目進行了DevSecOps評估，包括暢捷通、鄭州銀行、中原銀行、國信證券和中泰證券，他們在相關模塊也獲得了較好結果，標志著大家目前非常關注安全能力的建設。

? ? ? ?在評估的過程中，我們發現了目前企業在實踐安全過程中的強項和弱項。強項包括組織建設和人員管理、開發過程的管理、部署與發布的安全管理以及安全監控應急響應。大部分企業都有相應完善的組織流程和機制，也會通過工具或平臺進行自動化手段來完善安全能力。弱項是目前企業普遍缺乏對于多維度的安全工具以及掃描工具的組合使用編排能力。