1. 首页
  2. 云计算

《研发运营安全白皮书(2020年)》正式发布 深度剖析软件应用服务全生命周期可信

7月29日,由中国信息通信研究院(以下简称“中国信通院”)、中国通信标准化协会联合主办的可信云线上峰会在“云端”开幕。会上发布了《研发运营安全白皮书(2020年)》。由中国信通院牵头,联合华为、腾讯、阿里、浪潮、京东、金山、华大基因、奇安信、默安科技、新思科技等诸多知名企业,用系统化、流程化方法梳理软件应用服务研发运营全生命周期安全及发展趋势。不仅有助从业者提升对软件应用服务研发运营安全的理解,对于促进行业共识及合作也具有积极的指导意义。

微信图片_20200731103337

安全左移,全生命周期提升软件应用服务安全性

《研发运营安全白皮书(2020年)》开篇即指出研发运营安全指结合人员管理体系、制度流程,在软件应用服务设计早期便引入安全,进行安全左移,覆盖要求阶段、安全需求分析阶段、设计阶段、研发阶段、验证阶段、发布阶段、运营阶段、停用下线阶段的全生命周期,搭建安全体系,降低安全问题解决成本,全方面提升服务应用安全,提升人员安全能力。

全球安全事件频发,代码程序漏洞是关键诱因之一。根据Verizon以及Forrester等机构发布的研究数据显示,外部攻击、数据泄露等安全事件发生的根本原因超过30%与软件漏洞被攻击利用以及针对Web应用程序安全漏洞有关。

传统研发运营安全模式中,安全介入相对滞后。传统研发运营安全,针对软件应用服务自身的安全漏洞检测修复,通常是在系统搭建或者功能模块构建完成或者服务上线运营之后介入,进行安全扫描,威胁漏洞修复。当前的大多数安全手段,例如防病毒、防火墙、入侵检测等,都是关注交付运行之后的安全问题,属于被动防御性手段。

安全左移有助于帮助企业削减成本。根据美国国家标准与技术研究所(NIST)、IBM、Fortify等统计数据显示,在软件需求分析阶段就开始避免漏洞的成本比发布后修复成本低50~100倍。

各方关注日趋提升,研发安全运营市场持续扩大

全球主要国家以及区域性国际组织开始以战略、规范、指南等多种形式,统筹规划研发运营安全问题;国际标准组织及第三方非盈利组织也在积极推进研发运营安全共识;企业层面,全球知名互联网厂商也已经开始探索研发运营安全实践。

在白皮书的第二部分,不仅有诸多国际权威机构发布的市场数据,还包括各国政府,行业组织制定的相关法规和标准,以及全球知名互联网公司相关研发运营安全实践的介绍,对于从业人员了解行业现状具有很强的现实意义。

表1 重点重点国家及区域性国际组织研发运营安全相关举措

微信图片_20200731103345

表2 国际标准组织及第三方非盈利组织研发运营安全相关工作

微信图片_20200731103348

表3 企业研发运营安全具体实践

微信图片_20200731103351

四大特点,七大环节详解研发运营安全体系

中国信通院牵头,联合华为、腾讯、阿里、浪潮、京东、金山、华大基因、奇安信、默安科技、新思科技等诸多知名企业讨论建立了一套针对研发运营的安全体系。

微信图片_20200731103355

图片来源:中国信息通信研究院

表3 企业研发运营安全具体实践

本白皮书除了宏观层面和市场环境之外,还从细节入手,详细介绍了该研发运营安全体系,概要总结包括四大特点,七大环节。

四大特点

(1)覆盖范围更广,延伸至下线停用阶段,覆盖软件应用服务全生命周期;

(2)更具普适性,抽取关键要素,不依托于任何开发模式与体系;

(3)不止强调安全工具,同样注重安全管理,强化人员安全能力;

(4)进行运营安全数据反馈,形成安全闭环,不断优化流程实践。

七大环节

(1)管理制度;建立合适的人员组织架构与制度流程,保证研发运营流程安全的具体实施,针对人员进行安全培训,增强安全意识,进行相应考核管理;

(2)安全要求,前期明确安全要求,如设立质量安全门限要求,进行安全审计,对于第三方组件进行安全管理等;

原创文章,作者:观澜秀大数据,如若转载,请注明出处:http://www.glx6.com/yjs/7626.html

发表评论

联系我们

180-0000-0000

在线咨询:点击这里给我发消息

邮件:admin@guanlanxiu.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code