《研發運營安全白皮書（2020年）》深度解讀：全生命週期安全體系將是將來趨勢

傳統研發運營模式中，安全位置相對滯後，沒法覆蓋研發階段的安全問題。

日前，《研發運營安全白皮書（2020年）》（如下簡稱「白皮書」）在中國信息通訊研究院、中國通訊標準化協會聯合主辦的可信雲線上峯會上正式發佈。該白皮書是由中國信息通訊研究院牽頭，聯合騰訊、華爲、阿里、京東等諸多知名企業共同編制的，旨在用系統化、流程化方法梳理軟件應用服務研發運營全生命週期安全及發展趨勢，幫助從業者提高對軟件應用服務研發運營安全的理解。

安全左移，構成新型研發運營安全體系的最初一步

白皮書中指出，近年來安全事件頻發的主要緣由，就是軟件應用服務自身存在的代碼安全漏洞被黑客利用攻擊。根據Verizon 、Forrester 以及Gartner 等全球知名機構、諮詢公司所統計發佈的研究數據來看，由程序中的代碼安全漏洞以及權限設置機制等緣由引起的Web應用程序威脅漏洞和因代碼應用層存在安全漏洞，是外部攻擊和數據泄露等安全事件發生的主要緣由。

在軟件應用服務已經滲透至各行業領域中的當下，傳統研發運營安全模式屬於被動防護性手段，以防病毒、防火牆等爲表明的安全功能關注的都是交付運行以後的安全問題，相對滯後的安全手段沒法覆蓋研發階段代碼層面的安全，其安全測試範圍相對有限，且安全漏洞修復成本也更大。

白皮書認爲，若是要解決代碼所致使的安全問題，就須要考慮將安全左移，從而搭建覆蓋軟件應用服務全生命週期的、新型研發運營安全體系。

此外，白皮書還對新型研發運營安全體系的四大特色和七大環節進行了詳細介紹，其中四大特色包括：

1. 覆蓋範圍更廣，延伸至下線停用階段，覆蓋軟件應用服務全生命週期；
2. 更具普適性，抽取關鍵要素，不依託於任何開發模式與體系；
3. 不止強調安全工具，一樣注重安全管理，強化人員安全能力；
4. 進行運營安全數據反饋，造成安全閉環，不斷優化流程實踐。

而七大環節則分爲軟件應用服務研發的要求階段、安全需求分析階段到上線後的發佈階段、運營階段、停用下線階段等七個階段。

傳統研發運營安全模式僅能對發佈、運營和停用下線階段進行保護。而在安全左移以後，新型研發運營安全體系就可以在軟件應用服務設計早期便引入安全概念，從而讓安全覆蓋軟件應用服務全生命週期，最終實現達成下降安全問題解決成本、全方面提高服務應用安全和提高人員安全能力的目的。

不難看出，安全左移是搭建新型研發運營安全體系的重要前提。

研發運營安全體系，需向敏捷化、自動化演進

一直以來，研發運營安全相關體系的發展與開發模式的變化是密不可分的。隨着近年來雲計算的普及，愈來愈多的企業開始將業務,尤爲是核心業務向雲原生的環境遷移，對軟件開發的質量和效率的要求不斷提升。

而DevOps做爲一款雲原生、API所驅動的敏捷開發工具，被雲上企業普遍應用於軟件應用服務開發和部署的過程當中。白皮書認爲，爲適應軟件應用服務開發模式逐步向敏捷化發展的趨勢，研發運營安全體系也應隨之向敏捷化演進，可以將安全工具無縫集成到開發過程當中的「DevSecOps」開發框架，將成爲將來研發運營安全的關鍵組成部分。

安全專家建議，在構建「DevSecOps」框架中的功能時，須要重點考慮風險和威脅建模、自定義代碼掃描、開源軟件掃描和追蹤、系統配置漏洞掃描、安全測試的自動化部署等安全功能。同時，用戶使用 DevOps 的目的決定了其對「自動化」和「持續性」的要求尤其突出，所以在將安全工具集成到開發過程之中時，也應該遵循「自動化」和「透明」的原則。

全生命週期安全體系，已在部分領域中成功落地

儘管白皮書給出了新型研發運營安全體系的構成和實現路徑，但安全左移、自動化和全生命週期安全保護在應用實踐中有着更高的要求。對於這類企業而言，選擇配套上雲+雲上原生安全產品組合，一樣不失爲另外一種解決方案。

騰訊安全在7月舉辦的「產業安全公開課·雲原生專場」中，在直播課程中對外分享了騰訊安全雲原生安全運營體系的構建理念，即以雲原生爲中心，以安全左移、數據驅動及自動化爲基本支撐，從而實現雲上的全生命週期安全管理。

其中，安全左移指的是雲原生安全運營體系。首先應該具有事前感知安全威脅和配置風險檢查能力，既以構建安全預防體系的方式提高總體安全水平；而數據驅動則是雲原生安全運營的基本要求，經過創建雲上安全數據湖對各安全產品上的數據進行收集和統一管理；最後，經過雲上資產自動化盤點及雲上威脅自動化響應處置等自動化技術，對收集到的雲上安全問題進行自動響應和處置，最終構建出對安全威脅從感知到檢測再到應對處置的全生命週期安全管理體系。

目前，騰訊安全以雲原生安全運營體系爲核心所打造的安全產品——騰訊安全運營中心累計爲政府、金融、運營商、醫療、互聯網等多個領域提供安全保障。將來，騰訊安全將繼續探索全生命週期安全在其餘產品和領域中的應用場景和實現路徑，爲加強行業關於研發運營安全認識、實現安全可信生態建設提供助力。