DevSecOps 企业实践白皮书 freebuf 2020版

2020 DevSecOps Dev m o c . 5 h t i g b u Ops Sec DevSecOps企业实践白皮书关于安全聚合力系列独行难、众行远。安全聚合力系列报告旨在凝聚网络安全业内甲方安全专家，共同产出指导性、前瞻性的技术及行业实践研究报告，为企业提供更详实、更易落地的同行业安全建设参考。关于报告 m o c . 5 DevSecOps作为安全领域中逐渐步入成熟期的技术体系，从最初的理念到如今少量的成功实践案例，中间经历了大量的探索与发展。如今，很多企业已经意识到DevSecOps的重要性并想要有所实践，但仍然面临大量挑战。 b u 本次FreeBuf咨询邀请《研发运营一体化（DevOps）能力成熟度模型》部分编者及国内DevSecOps实践先行者携程、腾讯、国内某知名金融机构等分别从DevSecOps工具链及企业落地实践等方面深入探索研究，共同输出一份DevSecOps企业实 h t i g 践白皮书，为企业CSO提供安全建设的有效参考。关于 FreeBuf 咨询 FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析，分享国内外安全资源与行业洞见，是网络安全从业者与爱好者广泛关注的行业社区平台。 FreeBuf咨询集结了安全行业经验丰富的安全专家和分析师, 依托FreeBuf 安全智库，常年对信息安全技术、行业动态保持追踪, 洞悉安全行业现状和趋势, 呈现最专业的研究与咨询服务。 DevSecOps企业实践白皮书报告出品团队甲方专家（按姓名首字母排序）凌云携程信息安全高级总监，15年信息安全工作经验，大学时便活跃于各类黑客论坛和黑客杂志，曾在多个技术峰会Qcon、Gitc、Xfungfoo发表主题演讲 m o c . 5 赵锐世界500强企业中国区信息安全和风险负责人，国家网络安全周（上海）网络安全金牌讲师、DevOps标准工作组核心编写专家，CSA云安全联盟专家、CCSF优秀首席信息安全官 b u 庄飞金融机构应用安全负责人，15年+产品研发及安全从业经历，DevOps峰会金牌讲师，DevOps标准编写专 h t i g 家，曾在EISS、DOIS、TiD，CIS等峰会发表主题演讲张祖优腾讯云产品安全负责人，腾讯安全云鼎实验室高级安全工程师，12年安全攻防经验，曾在KCon、WOT、 ISF、QCon、BlackHat、网络安全创新大会、DevOps在线峰会等发表主题演讲，Seebug创始人， Pocsuite核心开发者 FreeBuf咨询出品人/ 尤文、鲍弘捷、高冰洋顾问/ 徐钟豪编者/ 行业分析师/ 设计指导/ 武文婧、周雪静、张志鹏宋丹丹姚媛 DevSecOps企业实践白皮书目录 CATALOG CHAPTER ONE 第一章 2020 DevSecOps 国内发展现状 2 3 1.1 DevOps 安全挑战及转型 02 1.2 DevSecOps 国内发展现状 02 CHAPTER TWO h t i g 第二章 DevSecOps 合规趋势：《研发运营一体化（DevOps）能力成熟度模型》 CHAPTER THREE 第三章企业 DevSecOps 落地与指导 b u 05 3.1 DevSecOps 落地挑战 07 3.2 DevSecOps 落地与指导 07 3.2.2 08 3.2.1 安全文化变革 3.2.3 构建DevSecOps工具链安全左移流程 m o c . 5 08 09 DevSecOps企业实践白皮书 4 5 CHAPTER FOUR 第四章某金融机构 DevSecOps 实践 CHAPTER FIVE 第五章携程 DevSec -Ops 实践 4.1 安全背景简介 14 4.2 企业安全文化建设 14 4.3 企业安全流程建设 15 4.3.2 15 4.3.1 安全策略 4.3.4 企业安全平台实践 4.3.5 5.2 企业安全文化建设 5.3 企业安全流程建设 5.4 企业安全工具链实践开源组件安全扫描(SCA) 5.4.3 交互式应用安全测试（IAST） 5.4.5 6 第六章总结与展望 5.4.6 源代码安全扫描（SAST）越权检测 b u ti h 5.4.1 g m o c . 5 22 25 安全背景介绍 5.4.4 21 DevSecOps安全度量指标 5.1 5.4.2 CHAPTER SIX 安全活动及工具链应用 15 数据库审计漏洞全生命周期管理 25 26 26 26 26 27 28 30 31 6.1 头部行业加快实践步伐 33 6.2 实践需贴合企业属性 33 6.3 安全是每个人的责任 34 CHAPTER ONE 第一章 m o c . 5 2020 DevSecOps 国内发展现状 h t i g b u 02 第一章 2020 DevSecOps 国内发展现状 1.1 DevOps 安全挑战及转型随着技术的不断发展，软件开发模式也在不断变化。从传统的瀑布式到企业在向DevOps快速转型，产品交付质量和速度都在快速提升，而安张在软件开发生命周期的所有步骤实现自动化和监控，缩短开发周期，大部分开发团队而言，安全是比较孤立的，大部分开发和运维人员没有敏捷(Agile)、精益(Lean)，越来越多的公司开始采用DevOps。 DevOps主增加部署频率。全资源的缺乏以及传统安全运营模式，却阻碍了DevOps的发展。对于接受过安全编码和安全实践的培训，使得安全与开发是分割的。根据中国信息通信研究院发布的《中国DevOps现状调查报告（2019 Gartner在2015年数据中心和信息安全峰会的调研报告显示，安全已经付速度。因为DevOps能够给企业带来的诸多益处，目前已成为企业软研发人员都认为，安全降低了IT对于业务需求的响应速度。年）》显示，采用DevOps实践可获得研发效率的显著提升，极大提升交件研发的主流模式。 m o c . 5 成为IT DevOps发展的阻碍。如下图所示，经过调研，大部分安全人员和 b u h t i g 图：信息安全专家：安全是否阻碍 IT 速度？图：IT 运营专家：安全是否阻碍 IT 速度？安全必须要积极转型，适应DevOps全新的开发过程，在此趋势下，DevSecOps应运而生。 1.2 DevSecOps 国内发展现状 DevSecOps最早由Gartner咨询公司研究员David Cearley在2012年首 DevSecOps的出现是为了改变和优化之前安全工作的一些现状，比如 ly Integrate Security into DevOps》，对该模型及配套解决方案进行详作，通过工具、技术手段将可以自动化、重复性的安全工作融入到研发次提出。 2016年9月，Gartner发布报告《DevSecOps: How to Seamless- 细分析，核心理念为：安全是整个IT团队（包括开发、测试、运维及安全团队）所有成员的责任，需要贯穿整个业务生命周期的每一个环节。 DevOps的核心价值是快速交付价值，灵活响应变化。相应的，DevSecOps价值是在不牺牲所需安全性的前提下，快速和规模地交付安全决策。安全测试的孤立性、滞后性、等问题，通过固化流程、加强不同人员协体系内，让安全及合规作为属性嵌入到DevOps开发运营一体化中，在保证业务快速交付价值的同时实现安全内建（Build Secuirty In），降低 IT安全风险。根据GitLab近期发起的第四次年度全球DevSecOps年度调查，超过 25％的开发人员表示对安全性完全负责，而33％的安全团队成员表示他们拥有安全性。共有29％的人认为每个人都应对安全负责。 2020 DevSecOps企业实践白皮书 03 CHAPTER ONE m o c . 5 可以看到，DevSecOps逐渐深入人心。虽然国内的DevSecOps落地仍然处于发展阶段，但很多国内企业已经意识到DevSecOps的重要性。随着DevOps 的深度实践，工作流程越来越规范、工具和应用场景也越来越丰富。在此趋势下，国内陆续涌现出了一批专注DevSecOps的创新安全厂商，通用技术方案被越来越多的行业头部用户所采纳。此外，DevSecOps的合规和治理也在国内持续推动中，关键标志之一就是全球首个DevOps标准的发布⸺《研发运营一体化（DevOps）能力成熟度模 b u 型》。其中第六部分《安全及风险管理》对DevOps全链路中开发、交付、运营等过程的安全风险控制进行规范要求，为企业安全风险管控手段和能力提升提供有效引导，帮助企业更好的落地实践DevSecOps。 h t i g 2020 DevSecOps企业实践白皮书 2 CHAPTER TWO 第二章 m o c . 5 DevSecOps 合规趋势：《研发运营一体化（DevOps） h t i g b u 能力成熟度模型》 05 CHAPTER TWO 第二章 DevSecOps 合规趋势：《研发运营一体化（DevOps）能力成熟度模型》 DevOps 标准的雏形《互联网应用运维框架及能力模型》初稿于2015年开始编写，七位专家在编写过程中发现，仅靠运维无法解决所有问题，无法真正体现业务价值，因此开始寻求更好的方向。 2017年底，为了更多的中小互联网企业以及传统企业能复用互联网、通信及金融等企业在DevOps领域积累的先进技术，中国信息通信研究院云计算开源产业联盟（OSCAR）联合高效运维社区、DevOps时代、腾讯、京东等行业顶级技术专家100多名，共同编写制定了全球首个DevOps 系列标准⸺《研发运营一体化（DevOps）能力成熟度模型》。该系列标准分为敏捷开发管理、持续交付、技术运营、应用设计、安全风险管理和组织结构7个部分，涵盖了全软件的开发和运维生命周期，为构建云时代下的新型软件开发与运营模式奠定坚实的基础。 2018年7月16-27日，在瑞士日内瓦举行的ITU-T*（国际电信联盟）Study Group13 Future networks (& cloud)全会上，来自中国、美国、英国、德 ing-