DevSecOps与数字化应用安全解决方案,以“不是需要更多的安全软件,而是需要更安全的软件”为核心安全理念,让安全贯穿开发、测试、运营等各个环节。此外,当发现漏洞后或遇到异常攻击时将立即激活自适应RASP防护机制,实现攻防结合,赋予应用软件具备“自我检测与保护”的安全能力。最终赋能软件供应链安全,助力数字化转型。
构建基于应用全生命周期的安全解决方案,为用户提供安全、高效、合规的安全能力,从安全供给侧为“数字经济”保驾护航。
方案背景
在我国乃至全世界积极推进“数字产业化、产业数字化”发展过程中,数字化技术全面推进“数字中国”建设,实现业务互通、数据共享、业务协同。在云计算、大数据、人工智能等新兴技术的高速驱动下,数字化转型升级与万物互联,数字应用正在实现全面在线化、智能化和数据化,但数字化推进过程中,数字安全将给数字化转型和数字化软件安全带来前所未有的挑战。
- 通过数字技术能够实现各个领域的业务互通、数据共享,让业务应用全面互联化、在线化和无边界化。但同时也导致了数字应用安全的风险面和攻击面将成百倍增长,所以数字化应用安全已成为安全攻防的主战场和主要焦点。
- 如何解决新兴技术所带来的包括但不限于云原生、API、微服务等技术架构以及应用加密、带验签等应用场景的新型安全风险?如何提升和构建基于数字技术场景下的应用安全?
- 在 “数字中国”建设过程中,如何满足《网络安全法》、《数据安全法》、《个人信息保护法》、《网络安全等级保护》等政策法规要求?如何提升和构建安全可信、自主可控业务应用安全能力?如何让安全与数字建设同步规划、同步建设、同步运行?
安全是数字化转型的底座和基石,同时安全也将会限制数字化的发展,所以需要用更多创新安全技术助力数字中国的全面建设与实施。全力建设DevSecOps与数字化软件安全格局,全面实现安全与数字建设相同步、相适应。
方案目标
1.组织和思维的转变
让安全成为整个IT团队(包括开发、运维及安全团队)所有成员的责任,各个组织相互协作、共同完成。
2.安全流程自动化
让安全通过自动化流程并能高效、透明地融入开发至运营的各个环节,集成到开发者的开发环境(IDE)和CI/CD工具链的工具中,不改变原有的工作环境和生态链。
3.新技术赋能新安全
利用新技术满足云上应用、大数据技术等架构下的安全赋能,也能更好适应现有容器、微服务等云原生技术的应用,同时可识别开源软件、第三方代码库及敏感信息泄漏等安全风险的能力。
4.安全服务经营
安全目标是系统(即管理对象)的安全风险降低到用户可接受的程度并满足合规性的要求,如果没有监管方面的缺陷,那么可以接受多少风险并不取决于信息安全,而是由产品/服务所有者最终做出的商业决策。
5.运行时保护也是DevSecOps战略的重要组成部分
既不能陷入“将安全漏洞的数量降为零”的错误追求中,安全开发、测试的负担识别加重,且很可能成为业务发展的一个障碍;所以持续的风险和信任评估以及对应用程序漏洞都要进行优先级排序,可以通过使用运行时保护控制来补偿已知较低风险的脆弱性或未知脆弱性的剩余风险。
方案特点
基于“数字中国”所面临的严峻安全形势,安全已不仅仅是单纯的“护卫队”角色,还是实现数字产业化、产业数字化的助推器和加速器。安全建设应该从“西医思维”转向“中医思维”,应该从“有病治病”向“增强体质”转变。安全建设重心应从“运行时防护”转向“安全前置”,这也是安全玻璃盒所理解的DevSecOps精神。安全左移,解决面对在线化、数据化、智能化的应用交付变革及应用运营过程已知或未知的安全风险,着力保障我国数字经济健康发展。
方案业务流程图
实现功能展示
1.解决数字应用安全风险的挑战
Gartner:超过80%外部风险都由于应用软件漏洞所致,特别提权库、数据灌泄漏等安全风险;所以应用软件安全对维护社会稳定及经济发展起着至关重要的管理作用。本方案为解决数字应用安全风险的挑战而生。
2.让安全需要前置
安全即代码:需要将安全工作前置在开发、测试阶段,可大大提升应用软件的安全性,同时可在最早阶段,用最低成本解决最大比例的安全风险。
3.解决新技术带来的新风险
传统漏洞分析及安全防护技术无法适应新技术和新应用发展,包括云计算、移动互联网、大数据等核心技术和容器、API、微服务等新应用架构。需要利用AI和自动化等新技术实现安全的新赋能。
4.构建生命周期安全运营体系
让安全贯穿开发至运营各个环节,利用AI和自动化实现DevSecOps全生命周期解决方案,从而构建新一代安全、高效、合规的全生命周期应用安全运营体系。
方案案例及效果
安全玻璃盒【杭州孝道科技】目前拥有五十余项软件著作权和技术专利,具备在线自动化应用漏洞测试、开源组件安全分析及自适应防护的安全能力。
目前已为包括但不限于中国人民银行、杭州银行、厦门国际银行等金融行业几十家用户的数字应用赋能安全,利用基于DevSecOps全生命周期应用安全技术架构下自研的自鉴-交互式应用安全测试系统IAST、自鉴-开源组件安全分析系统SCA、自御-数字化应用软件安全平台ASTP等技术产品。让安全赋能到开发、测试、运营各个阶段,对数字应用以及所引用的三方组件漏洞,实现在线无风险、高效自动化、全面精确可视化的漏洞检测和定位,从安全源头解决根本性的安全风险,以保障业务应用上线前的安全性,避免应用带病运行,让应用自身具备抵抗力和免疫力。
方案未来展望
网络世界中的企业正在以前所未有的方式相互关联,并且已然形成了较为完整的以供应商、合作伙伴、承包商三者构成的商业链条,我们称之为--软件供应链。
软件供应链也是金融信息供应链中的重要一环,也是信息供应链形成的重要支撑。而在一些影响巨大的软件供应链安全事件和越连越大的信息技术网络的全球背景下,软件供应链安全显得空前重要,也是亟待应对和解决的世界难题。
DevSecOps与数字化应用安全解决方案本就为着软件供应链安全需求应运而生,未来希望该方案能够更多的运用到软件供应链安全中,着力保障我国软件供应链安全。