《1. 浅谈DevSecOps敏捷安全发展趋势 - 悬镜安全子芽（16页）.pdf》由会员分享，可在线阅读，更多相关《1. 浅谈DevSecOps敏捷安全发展趋势 - 悬镜安全子芽（16页）.pdf（16页珍藏版）》请在三个皮匠报告上搜索。

1、浅谈浅谈DevSecOpsDevSecOps敏捷安全发展趋势敏捷安全发展趋势演讲人：子芽演讲时间：2021.07.21目录C o n t e n t s致辞1技术分享2寄语30101致辞致辞致辞作为中国首届作为中国首届“DevSecOps敏捷安全大会敏捷安全大会“，创立初心创立初心？生态生态：搭建一个汇集“行业用户、产业智库、安全媒体及技术厂商“的：搭建一个汇集“行业用户、产业智库、安全媒体及技术厂商“的DevSecOpsDevSecOps生态交流平台生态交流平台；齐鸣齐鸣：行业用户分享场景：行业用户分享场景实践实践，产业智库分享，产业智库分享标准标准研究，圈内媒体分享行业研究，圈内媒体分享行

2、业趋势趋势，领军厂商分享创新，领军厂商分享创新技术技术；共舞共舞：定期输出：定期输出DevSecOpsDevSecOps创新落地实践，推动敏捷安全技术应用发展，共筑行业性整体解决方案。创新落地实践，推动敏捷安全技术应用发展，共筑行业性整体解决方案。致辞为何是“为何是“安全从供应链开始安全从供应链开始“？“？内因：数字经济时代，软件定义万物，安全内生于业务发展；软件开源日趋盛行，开源软件成为现代软件开发最基础的原材料；外因：自动化恶意攻击技术不断升级，软件供应链攻击趋势明显加强；供应链安全与否直接影响国家安全。技术分享技术分享0202云原生时代的软件开发模式变革瀑布模型敏捷模型DevOps瀑布式

3、开发敏捷开发DevOps现实场景面临的安全挑战现实场景面临的安全挑战传统开发场景下如何高效实践SDLDevOps场景下如何与CI/CD结合，实践可度量的敏捷安全建设过渡场景下如何结合组织特点逐步转型，做中长期安全开发和运营体系建设设计开发测试部署现代应用软件安全风险面的新认知开源成分缺陷及漏洞开源代码及组件现代应用软件组成成分自研代码Web通用漏洞SQL注入、命令执行、XXE、XSS等OWASP TOP10漏洞业务逻辑漏洞水平/垂直越权、短信轰炸、批量注册等不局限于CNNVD、CNVD、CVE等漏洞混源软件开发混源软件开发已成为现代应用主要软件开发交付方式，对它的全面风险审查应考虑从第三方开源

4、组件缺陷及后门、自研代码通用漏洞、自研代码业务逻辑漏洞、潜藏恶意代码等维度综合审计。异常行为代码各类Webshell木马、后门及恶意代码等DevSecOps敏捷安全技术未来演进方向DevSecOps敏捷安全技术金字塔V2.0版DevSecOps实践：1）DevSecOps核心愿景是构建一个信任和弹性的研运一体化环境，使得组织能够敏捷地、安全地、充分地参与到软件供应链建设和保障中去。2）自动化、敏捷和情境化是DevSecOps建设的技术基础，不仅要求全量及增量检测高精度低误报，还需要具备业务透视及数据协同分析能力；3）不仅关注应用本身风险，还关注CI/CD管道、容器、API等应用基础设施安全及人

5、为因素引入带来的异常风险；4）技术驱动从左移（安全前置）到无处不移演进，和云原生安全技术进入更深融合阶段，成为组织上云重点实践要求。CARTA自适应风险与信任评估技术新技术注解：CARTA（Continuous Adaptive Risk and Trust Assessment）：持续自适应风险与信任评估技术，它作为DevSecOps敏捷安全体系建设的战略框架，结合组织目标及业务价值属性，从规划、构建、运行三个维度动态评估组织业务在整个软件供应链生命周期中面临的风险和信任，不要求零风险，不追求100%信任。ARSA（Automating Security Risk Assessments）:

6、自动化安全风险评估技术，它的目标是将定义明确且可重复的风险评估过程的各个要素整合起来，以识别、度量和处置IT风险。引入该项技术，更多是利用它和交叉新技术结合实现对诸如研发过程中的代码风险等进行动态评估。DevSecOps应用安全工具链SDLC覆盖计划编码构建单元测试系统测试非功能测试业务验收测试发布运营IAST交互式灰盒安全测试OSS开源威胁治理（含SCA软件成分分析）BAS持续威胁模拟RASP自适应威胁免疫DevSecOps全流程安全赋能平台（ASTO/AVC/ASRA/CARTA）情景式需求分析和威胁建模DevSecOps工具链IAST技术实践IAST主要关键技术狭义的IAST特指运行时插

7、桩模式，可帮助普通研发测试人员快速完成业务安全测试，精准定位漏洞细节及修复指导。广义的IAST须包含流量学习和日志分析模式，对研发测试等使用人员完全透明，无流程侵入，不依赖应用编程语言注意：IAST比较依赖用户点击流量覆盖的全面性，可通过主动模拟点击技术做补充。DevSecOps工具链AST技术优劣分析对比AST技术系传统SAST白盒IAST灰盒传统DAST黑盒误报率高极低低检出率高高中检测速度随代码量依点击流量实时检测随URL、payload数量SCA成分分析静态扫描支持运行时支持依赖payload、指纹API识别分析深度支持深度支持一般支持敏感数据追踪无法支持深度支持一般支持语言支持区分不

8、同语言区分不同的语言不区分语言框架支持一定程度区分一定程度区分不区分框架漏洞验证利用很难验证利用可验证利用可验证利用使用成本高，人工排查误报低，基本没有误报较低漏洞详情代码行数、执行流请求响应、代码行数、数据流、调用堆栈等参数、请求响应DevOps CI/CD支持较高高低漏洞种类覆盖更偏向应用代码漏洞和编码规范缺陷更偏向应用本身漏洞，难以回显带外也可发现可发现配置、运维、运行时层面漏洞任何一项新兴技术出现，都有时代的背景和其适用的场景，没有绝对好坏之分。DevSecOps敏捷安全技术的新方向网络安全技术演进：网络安全技术演进：从网络边界过滤分析-主机环境检测响应-应用运行时情境感知技术演进。运行时情境安全运行时情境安全技术演进：技术演进：从IAST灰盒安全测试-IAST API挖掘分析-RASP自适应威胁免疫-运行时敏感数据追踪一个探针的神奇旅行寄语寄语0303寄语水善利万物而不争从DSO2021起，携手共建一个普惠的DevSecOps生态！