b u m o c . 5 CU-DevSecOps 实践白皮书 h t i g 中国联合网络通信有限公司研究院 2021 年 9 月 CU-DevSecOps 实践白皮书 前言 万物互联的数字智能世界,推动着全球数字经济的高速发展。随 着云原生应用、大数据应用、产业互联网以及物联网智能应用软件 的不断发展,传统的软件开发流程已不能适应快速变化的业务和迭 代需要,于是敏捷开发流程应运而生。敏捷开发通过增量和迭代式 的开发模式,可以大大缩短软件的交付周期并能进行持续改进,从 m o c . 5 而能够很好地响应快速的需求更改以及外部环境变化。近年来敏捷 开发的广泛应用和云计算技术的快速发展,促进着开发和运维的同 步优化,并进一步形成了 DevOps,即开发运维一体化。DevOps 极大 b u 的提升了软件的交付速度,但快速的软件交付能力给软件安全性及 h t i g 可靠性带来了极大挑战,因此,为了弥补 DevOps 流程中安全保护行 为缺失的问题,需要在 DevOps 中融合便捷有效的安全行为,完善 DevOps,构建 DevSecOps。 《CU-DevSecOps 实践白皮书》除介绍 DevOps 面临的安全挑战以 及 DevSecOps 的价 值意义 、发展现 状和支 撑体系之 外,还 结合 DevSecOps 落地过程中面临的挑战,给出了 DevSecOps 的实践指南。 该实践指南将 DevSecOps 的可执行实践分为安全文化建设阶段、安 全防护左移阶段、安全工具链构建阶段和安全运营阶段,并对不同 阶段安全活动和安全措施及方法进行了重点介绍和剖析,最后对 DevSecOps 的未来发展趋势进行了展望。 1 CU-DevSecOps 实践白皮书 参与编写单位 中国联合网络通信有限公司研究院;中国联合网络通信有限公司 广东省分公司;深圳开源互联网安全技术有限公司;绿盟科技集团 股份有限公司;杭州孝道科技有限公司;北京中科天齐信息技术有 限公司;苏州棱镜七彩信息科技有限公司;北京小佑科技有限公司; 北京安普诺信息技术有限公司。 m o c . 5 主要撰稿人 徐雷 刘军 张小梅 徐锋 郭新海 但吉兵 刘斌 董毅 刘一赫 黎宇 薛强 贺文轩 严雪伦 高琳 蓝鑫冲 丁攀 刘安 苏俐竹 袁曙光 b u h t i g 2 郑明 CU-DevSecOps 实践白皮书 目录 一、 DevSecOps 概述 ....................................................................................................................... 4 1.1 DevOps 面临的挑战 ............................................................................................................ 4 1.2 DevSecOps 的价值意义 ..................................................................................................... 5 1.3 DevSecOps 发展现状 ......................................................................................................... 6 1.4 DevSecOps 支撑体系 ......................................................................................................... 7 二、 DevSecOps 落地挑战 ............................................................................................................... 9 m o c . 5 2.1 组织维度的挑战 .................................................................................................................. 10 2.2 流程维度的挑战 .................................................................................................................. 11 2.3 技术维度的挑战 .................................................................................................................. 12 b u 2.4 治理维度的挑战 .................................................................................................................. 13 h t i g 三、DevSecOps 实践....................................................................................................................... 14 3.1 安全文化建设....................................................................................................................... 14 3.2 安全防护左移....................................................................................................................... 15 3.3 安全工具链构建 .................................................................................................................. 16 3.4 安全运营实践....................................................................................................................... 26 四、DevSecOps 未来发展趋势 ...................................................................................................... 30 4.1 IAST/RASP 迎来高增长 .................................................................................................... 30 4.2 开源治理成为新的热点 ...................................................................................................... 30 4.3 漏洞与攻击建模愈发广泛 .................................................................................................. 31 4.4 安全自动化运营成为趋势 .................................................................................................. 31 3 CU-DevSecOps 实践白皮书 一、 DevSecOps 概述 1.1 DevOps 面临的挑战 在当前云网融合和数字化转型的大力推进下,作为云原生技术不 可或缺的持续交付、DevOps、微服务和容器技术正在被广泛使用。 DevOps 经过多年的发展,因其能够很好的处理软件研发和运维过程 中的易变性、不确定性、复杂性和模糊性问题,逐渐成为了当今软 m o c . 5 件研发流程的首选技术。中国信息通信研究院发布的《中国 DevOps 现状调查报告(2021 年)》中指出,在中国目前已有超过 80%的企 业在不同程度上实践敏捷开发,DevOps 的受欢迎程度可见一斑。 b u DevOps 是为提升软件的研发和运维效率而诞生的,其初衷就是满 h t i g 足软件系统的快速交付和持续迭代。DevOps 的主要特点包括:追求 敏捷、快速迭代,但忽视安全检查。倡导研发与运维之间的协作, 却没有要求安全部门参与到双环流程。由于 DevOps 的这些特点,导 致了许多安全问题的相继出现,如快速迭代过程中,第三方组件的 大量引入,会将组件中存在的漏洞、和不合规的许可声明引入到软 件系统中,成为潜在风险;DevOps 实践中容器技术和微服务架构的 使用,也会不可避免地引入安全风险,例如容器逃逸漏洞和 API 接 口爆炸式增长等。面对这些问题,需要从安全的角度出发,进一步 完善 DevOps,以满足新时代、新技术和新趋势下的软件系统的开发、 运维和应用。 4 CU-DevSecOps 实践白皮书 1.2 DevSecOps 的价值意义 基于对安全的需求,在 DevOps 的基础上,DevSecOps 理念被提出。 相对于 DevOps 而言,DevSecOps 增加了安全要求,可以帮助企业在 软 件 研 发阶 段便关 注 信 息安 全,从 而 解 决大 部分安 全 隐 患。 但 DevSecOps 并非简单地增加安全要求。通常来说,效率与安全是存在 冲突的,重视安全便可

pdf文档 联通 DevSecOps实践白皮书 2021

文档预览
中文文档 34 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共34页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
联通 DevSecOps实践白皮书 2021 第 1 页 联通 DevSecOps实践白皮书 2021 第 2 页 联通 DevSecOps实践白皮书 2021 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲2022-06-17 03:33:52上传分享
给文档打分
您好可以输入 255 个字符
网站域名是多少( 答案:github5.com )
评论列表
  • 暂时还没有评论,期待您的金玉良言