DevSecOps構建原因和構建重點

1. 為何需要建立DevSecOps？

1.1應用軟件安全風險的影響
面對當前萬物智能互聯、數字經濟高速發展的大環境下，應用軟件安全對于推動我國數字經濟發展、維護社會穩定及國家安全都將起著至關重要的地位和作用。據Gartner報告顯示：超過 80% 的網絡***都發生在應用層，所披露的漏洞70%以上與應用安全有關，特別是SQL注入、XSS、CSRF、目錄遍歷等漏洞，所以應用安全將是安全保障的重中之重。

1.2安全需要前置
當前以云計算、大數據及人工智能等為核心技術，構建了萬物互聯的數字智能世界，消除了原有傳統網絡和應用的邊界，讓原本邊界安全防護理念付諸東流，給安全帶來了極大的挑戰。
在萬物互聯背景下，我們要從“有病治病”向“增強體質”的思維轉變，要圍繞以“業務和數據為核心”,以“在萬物互聯時代下，不僅需要更多的安全軟件，而且需要更安全的軟件”為安全理念，將安全工作前置在開發、測試等各個環節，達到“安全即代碼、治標亦治本”的安全目標。如未能在上線前和生產過程中進行持續測試并且修復安全問題，就無法確保應用上線及投產后其持續改進的安全性。安全前置，不僅大大提升應用軟件的安全能力，而且可在最早階段、用最低成本解決最大比例的安全風險，所以安全前置是萬物互聯環境下的核心創新安全理念和最佳安全賦能措施。

1.3新技術新應用所帶來的新風險
萬物互聯的數字智能世界，推動著全球數字經濟的高速發展，面對于云上應用、大數據應用、產業互聯網以及物聯網智能應用軟件，消除了原有網絡和應用的安全邊界，當前主流檢測與防護技術都難以滿足萬物互聯背景下的安全賦能，特別針對當前容器應用、API、微服務等新應用架構和應用加密、防重放、帶驗簽等新應用場景下的安全賦能。
我們以“萬物互聯時代，不僅需要更多的安全軟件，而且需要更安全的軟件”為安全核心思想，讓安全貫穿開發至運營的各個環節。利用AI和自動化等新技術實現安全新賦能，將安全與軟件高度耦合的交互式應用安全檢測與防護技術，讓安全與業務高耦合、相同步、相適應，不僅為用戶提供更安全的軟件，同時也滿足在萬物互聯環境對應用軟件的安全防護。

1.4運行防護也是重要組成部分
既不能陷入“將安全漏洞的數量降為零”的錯誤追求中，安全開發、測試的負擔識別加重，且很可能成為業務發展的一個障礙；所以持續的風險和信任評估以及對應用程序漏洞要進行優先級排序，可以通過使用運行時保護控制來補償已知較低風險的脆弱性或未知脆弱性的剩余風險。

1. 構建DevSecOps工作的重點和難點

DevSecOps安全解決方案，以“萬物互聯時代，不僅需要更多的安全軟件，而且需要更安全的軟件”為核心安全理念，讓安全貫穿整個業務生命周期的各個環節，包括技術開發、測試、發布、上線、部署及運營等各個階段。從而構建新一代安全、高效、合規的全生命周期應用安全運營體系，從安全供給側為“數字經濟”保駕護航。

2.1組織文化和思維方式的轉變
n 安全前置
DevSecOps安全解決方案以基于“萬物互聯時代，不僅需要更多的安全軟件，而且需要更安全的軟件”為核心安全理念；需要將安全工作前置在開發、測試等的各個環節，實現產業互聯背景下的安全賦能。

n 安全人人有責
讓開發、安全、運維共同擁抱DevSecOps理念與文化，需要改變過去只有安全人員對安全負責的態度和觀念，不能讓僅極少數的安全人員，被視為是對項目推進的阻礙、內部生產效率的破壞，必須能讓開發、運維和安全都應該對安全負責，協同工作、共同擔當。
n 安全服務經營

安全目標是應用系統的安全風險降低到用戶可接受的程度并滿足合規性的要求；如果沒有監管方面的缺陷，那么可以接受多少風險并不取決于信息安全，而是由業務應用所有者最終做出的商業決策。

n 安全全生命周期
以基于“萬物互聯時代，不僅需要更多的安全軟件，而且需要更安全的軟件”為核心安全理念和安全服務經營的宗旨。從而構建基于應用的全生命周期安全運營體系，讓安全貫穿整個業務生命周期（從開發到運營）的各個環節，包括技術開發、測試、上線及運營等各個階段的安全賦能。從而構建新一代安全、高效、合規的全生命周期應用安全運營體系，從安全供給側為“數字經濟”保駕護航。

2.2安全集成流程自動化
信息安全要為企事業單位的經營和發展服務，業務發展和工作效率是企業發展的關鍵要素與核心競爭力，信息安全工作必須適應開發至運營各個環節的工具及流程，不能因信息安全工作讓開發、運維工作者離開他們熟悉的工具鏈環境，讓工作流程變復雜、工作效率更低，而是要讓IT工作者時間更有商業價值。DevSecOps是將安全通過AI和自動化檢測技術高效、透明地融入開發至運營的各個環節，集成到開發者的開發環境（IDE）和CI/CD工具鏈的工具中，不改變原有的工作環境和生態鏈，從而構建便捷、高效、安全及合規的應用安全能力。

2.3利用新技術賦能新安全
利用新技術推動安全來貫穿整個業務全生命周期的各個環節，滿足云上應用、大數據應用、工業互聯網等新技術應用架構下的安全賦能，從而更加有效保障其方案實施的便捷性、安全性和合規性。同時，應更好適應現有容器、微服務等云原生技術的新應用架構和識別開源軟件、第三方代碼庫及敏感信息泄漏等安全風險的能力。
如交互式應用安全測試系統-IAST，利用運行時非執行態的核心安全檢測技術，通過功能操作即可自動化輸出安全結果，精確定位易受***的代碼行并提供了詳細的上下文修復示例，幫助開發團隊可以快速修復漏洞。可完全解決當前漏洞掃描系統存在較高誤報率；人工***測試受技術專業能力的局限，而且費時費力，無法滿足產品快速迭代的需求；也完全滿足當前容器應用、API、微服務等新應用架構和應用加密、防重放、帶驗簽等新應用場景下的安全風險。

通過自適應應用安全架構和智能檢測算法，可實現執行類0 day應用漏洞的實時檢測與防護，達到運行時"自我保護"的安全能力；同時可對敏感信息、運行環境及三方組件進行實時安全檢測和分析；完全適用云上應用、大數據技術應用和物聯網智能互聯等應用平臺的安全檢測和防護。