1、进一步左移架构安全与DevSecOps2023 深圳站周一帆在新加坡及中国拥有多年的金融科技与信息安全行业工作经验。曾就职于汇丰环球银行与资本市场科技部，负责交易系统监控及DevOps开发运维一体化工具的管理。曾参与国内外多项重大信息安全与金融科技项目的实施与部署工作。熟悉DevOps，DevSecOps方法和工具。目前主要从事应用系统架构安全顾问，风险评估，威胁建模等工作。同时开展在汇丰集团内部的DevSecOps实施工作，协助各业务团队进行DevSecOps技术转型。国内第一本DevSecOps书籍DevSecOps实战作者之一。汇丰科技中国信息安全部高级信息安全分析师2023 深圳站目录

2、CONTENTSDevSecOps的简介01 金融科技领域中的合规风险02 OWASP Top10与架构安全左移03 基于合规的安全风险评估体系的建立04 未来趋势05 2023 深圳站01DevSecOpsDevSecOps的简介的简介2023 深圳站为什么需要DevSecOps？lDevOps 让开发团队的产品交付更快,协作更好。传统信息安全交付模式和现代的快速持续交付理念形成冲突，从而使信息安全成为快速交付的瓶颈。l如果没有考虑到信息安全的DevOps，反而让产品更容易存在信息安全漏洞的风险。l速度和安全本身就是天生一对相辅相成的概念，DevSecOps的出现与实践，正是去帮助处于不同行

3、业的实践者们去寻求速度和安全之间的平衡点。2023 深圳站什么是DevSecOps？l2012年，Gartner 提出了“DevSecOps”的理念(初始为“DevOpsSec”).DevSecOps的最终目的是将信息安全意识左移到开发团队,并因此让所有人都为信息安全负责l目标是将安全嵌入到DevOps的各个流程中去（需求，架构，开发，测试等），从而实现安全的左移，让所有人为安全负责，将安全性从被动转变为主动，最终让团队可以更快，更安全地开发出质量更好的产品2023 深圳站DevSecOps的最佳实践运营模型实现模型成熟度模型三个角色的协作开发团队信息安全团队DevSecOps实施负责人三个阶

4、段三步走引入DevSecOps工具DevOps与信息安全知识、能力的培训意识文化和流程的建立多维度的评估工具的集成与使用情况团队组织架构情况DevSecOps实施负责人知识储备与问题解决能力三个角色的协作能力等DevSecOps的最终目标是引入一套框架，解决持续快速交付和信息安全之间的矛盾一个框架，三个模型，三个角色，三个阶段的结合，可视为实施DevSecOps的最佳实践之一。2023 深圳站DevSecOps工具安全工具链2023 深圳站02金融科技领域中的合规风险金融科技领域中的合规风险2023 深圳站近十年国内外发布的部分与信息安全相关的监管法律、法规l新加坡于2012年通过的个人数据保

5、护法l2016年11月7日，第十二届全国人民代表大会常务委员会第二十四次会议通过中华人民共和国网络安全法l2018年5月25日，欧洲联盟出台通用数据保护条例(GDPR)l2019年10月26日，第十三届全国人民代表大会常务委员会第十四次会议通过 中华人民共和国密码法l2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议通过中华人民共和国数据安全法l2021年8月20日，十三届全国人大常委会第三十次会议表决通过中华人民共和国个人信息保护法l2022年7月，国家网信办出台数据出境安全评估办法2023 深圳站近十年国内外发布的部分与信息安全相关的监管法律、法规监管体系越来越健全 当

6、前全球现行法律法规及行业标准中，与网络和信息安全有关的已有上百部。涉及网络运营安全、信息系统安全、数据安全、网络安全产品、保密及密码管理等多领域。涵盖从通信、金融等传统行业到各新兴互联网行业。监管形式多元化 有法律、有司法解释及相关文件、行政法规、法规性文件、部门规章、行业标准文件等。不同领域的监管机构错综复杂。存在不同国家与地区间监管差异 不同国家及区域，各类法规又有不同。知识产权壁垒。重要信息、数据在不同国家及地区中的流动往往受到强监管。因此，对于一家企业来说因此，对于一家企业来说，其产品其产品或业务的合规性直接影响着它面向或业务的合规性直接影响着它面向未来市场的生命力与可持续发展性未来市

7、场的生命力与可持续发展性。2023 深圳站近十年国内外发布的部分与信息安全相关的监管法律、法规但是，与合规风险相关的设计与管控措施，往往却在项目实施的早期阶段最容易被企业所忽视。因此，我们需要在这一阶段，就将与合规相关的管控措施引入，让安全部门在早期介入，与项目团队一起，共同实现架构安全审查的左移。2023 深圳站03OWASPOWASP Top10Top10与架构安全左移与架构安全左移2023 深圳站OWASP Top10与架构安全左移OWASP（开放式Web应用程序安全项目）是一个开源的、非营利性的全球性安全组织，致力于改进Web应用程序的安全，这个组织最出名是，它总结了10种最严重的We

8、b应用程序安全风险，警告全球所有的网站拥有者，应该警惕这些最常见、最危险的漏洞。与OWASP2017相比，在OWASP2021中新增了A04-不安全的设计这一安全风险项2023 深圳站OWASP Top10与架构安全左移A04:2021-不安全设计 这是 2021 年版本的新类別，并特別聚焦在设计相关的缺陷。如果我们真的希望让整个产业向左移动，那我们必须进一步的往威胁建模，安全设计模块的观念，和安全參考架构前进。摘自OWASP2021官方概述2023 深圳站OWASP Top10与架构安全左移2023 深圳站不安全的设计举例API鉴权缺失三方机构对近两年的数据泄露风险分析表明，API安全已是数

9、据泄露头号风险，92%的数据泄露已来自业务API的爬取。2021年6月，根据裁判文书网公开的判决案例显示，犯罪嫌疑人逯某通过某宝业务接口开发的爬虫软件获取了用户id，昵称，电话号码等信息11亿条。2021年4月Facebook5亿用户数据泄漏，根据暗网上公布的数据截图，涉及到用户的昵称，邮箱，电话，家庭住址的信息判断，为业务接口泄漏。2020年国内某社交平台的3.5亿数据的泄露，就是来自于终端APP的业务逻辑API被非法流量调用超过40亿次而导致。2020年印尼最大的电商网站Tokopedia9100万用户信息泄漏，里面涉及到了用户曾经浏览到商品信息和订单信息，也为业务接口泄漏。2023 深圳

10、站04基于合规的安全风险基于合规的安全风险评估体评估体系建立系建立2023 深圳站从合规风险和不安全的设计两个层面我们可以做出以下判断：l许多的安全漏洞并非直接产生于开发编码阶段，在产品方案与架构设计之初，或许一些潜在的安全风险就已经存在，但并未被发现引起重视。l任何风险与漏洞越早被发现，其修复成本也越低，对产品的整体影响较小。l我们需要在DevSecOps的实施过程中去引入一整套的安全风险评估体系，让安全工作的开展进行更彻底的左移，在项目设计阶段就让安全审查介入。l对于需要进行严格安全审查的项目，在产品设计阶段就让架构师、项目团队与安全团队进行协作，开展动态的威胁建模工作。2023 深圳站基

11、于合规的安全风险评估体系与DevSecOpsl 一是安全流程的简化，将安全设计审查工作化繁为简，明确分类，减少不必要的浪费。l 二是安全流程的左移，将原有流程中由安全人员承担的工作在项目更早期交由架构师、项目团队进行。2023 深圳站基于合规的安全风险评估体系归纳举例2023 深圳站安全流程的简化确定审查方式 1 定义项目分类安全风险评估的左移，不应该单单只是将其传统的工作内容左移，而是需要建立一套适应DevSecOps持续快速安全交付目标的体系。建立体系的第一步，就是要定义各种项目的分类，以确定安全审查的方式。l对于涉及全新产品项目、重大安全控制功能改动等的项目，必须要进行完整的风险评估。l

12、对于轻量化的项目变更，则可以考虑采用检查清单的形式进行快速检查。l对于明显不涉及任何功能及数据变动的项目，甚至可以考虑免于一定程度上的安全审查。以此类推。2023 深圳站安全流程的简化确定审查方式 1-1 定义项目分类举例2023 深圳站安全流程的简化确定审查方式 2 结合安全等级与项目分类结合安全等级与项目分类的审查方式对应表案例 2023 深圳站安全流程的简化快速检查表 检查项分类当在上一步确定审查方式为快速检查时，可采用快速检查表，以问卷的形式要求项目团队根据表中涉及到的控制项问题进行作答。若当前控制情况回答“是”，可视为符合规范，当回答为“否”时，可视为不符合规范，当控制项问题不适用该

13、项目时，可回答“不适用”，并进行说明。身份认证与密钥管理 访问授权 会话管理加密与数据保护输入输出控制异常处理日志与审计变更管理系统配置快速检查表可包含的检查类别举例2023 深圳站安全流程的简化快速检查表 问题清单快速检查表中身份认证与密钥管理相关的问题清单举例 评估类别评估类别问题清单问题清单当前控制情况（是当前控制情况（是/否否/不适用）不适用）补充信息补充信息身份认证与密钥管理身份认证与密钥管理项目系统是否考虑了符合企业信息安全规范的身份认证方式？项目系统是否考虑了符合企业信息安全规范的加密码或认证方式？项目系统是否考虑了符合企业信息安全规范的密码管理方式？例如，密码的存储、变更等项目

14、系统是否强制使用符合企业及监管机构规范的密码策略？例如，密码长度、复杂度等项目系统是否考虑了各种潜在的针对身份认证及密码密钥的攻击方式及对应策略？例如，人机识别、多次输错禁止等策略项目系统是否考虑了用户身份信息的年度审计要求？年度审核该身份账号拥有者是否依旧恰当维持？项目系统是否考虑了系统及应用间的身份访问验证方法？如采用证书等数字认证方式，项目系统是否考虑了证书签发机构的权威及合法性？如采用证书等数字认证方式，项目系统是否考虑了证书的生命周期管理？项目系统是否采用了符合企业或监管机构规范的身份管理方式？例如，账号创建、修改等操作的管理规范2023 深圳站安全流程的简化快速检查表 问题清单l针

15、对云相关的项目，可设置专门的云项目检查清单。l针对涉及合规性要求的项目，可设置专门的合规项目检查清单。快速检查表的使用，是针对轻量化的项目变更进行的快速检查。缩减繁琐流程，兼顾安全审查。是为了实现DevSecOps持续快速安全交付目标的体现。同时帮助实现高效率的安全审查左移。2023 深圳站完整风险评估 威胁建模对于涉及全新产品项目、重大安全控制功能改动等的项目，必须采用威胁建模的方法进行风险评估。2023 深圳站完整风险评估 威胁建模威胁建模（Threat Modeling），是一个不断循环的动态模型，主要运用在安全需求和安全设计上。同时威胁建模是一项工程技术，可以使用它来帮助确定会对企业的

16、应用程序造成影响的威胁、攻击、漏洞和对策。企业可以使用威胁建模来形成应用程序的设计、实现企业的安全目标以及降低风险。在我们当前行内的实践中，步骤1和2交由架构师与项目团队来完成，让安全工作在项目中尽早开展，与设计工作同步进行，安全人员仅供指导意见，从而实现安全流程的左移。2023 深圳站完整风险评估 威胁建模（举例）1.识别资产（由架构师与项目团队负责）确定哪些是包含敏感或隐私信息的关键资产、信息、文件、子系统、组件、功能模块等。这可能包括一些机密数据，比如数据库中存在的客户信息或订单数据等，也可视为资产。2.创建架构设计概览（由架构师与项目团队负责）核心是建立规范标准的项目系统架构设计图。其

17、目标是记录项目系统的功能、它的体系结构和物理部署配置，以及构成其解决方案所采用的技术方法等。2023 深圳站完整风险评估 威胁建模（举例）建议图中尽量包含（但不限于）以下信息：资产/组件与其类别；业务逻辑与上下游关系；传输协议；技术栈，如系统类型、框架、中间件等；数据；网络类型；信任边界。A移动应用系统架构设计示意图 2023 深圳站完整风险评估 威胁建模（举例）3.分析应用系统我们需要去分析该项目系统中不同资产及整体解决方案中所涉及到的安全属性。比如该系统具体涉及哪些安全管控项目？哪些又不在该系统设计范围内？再具体到每个管控项，例如身份认证，我们需要详细分析该系统用哪些用户？是否有外部用户？

18、他们如何进行身份认证？等等。应用系统分析应用系统分析安全管控安全管控/评估类别分析评估类别分析解决方案分析身份认证身份认证密钥管理信任边界访问授权访问授权数据保护数据流动会话管理会话管理日志与审计进入与退出点（业务逻辑起始与终点）加密与解密加密与解密系统配置输入输出输入输出异常处理特权级代码等2023 深圳站完整风险评估 威胁建模（举例）4.识别威胁微软提出使用STRIDE模型来进行威胁建模中识别威胁的实践。所有的威胁会基于以上六大类型，在此基础上，我们也可以根据项目系统的架构设计图中的资产类型或集合进行威胁分析。威胁威胁受影响的安全属性受影响的安全属性威胁说明缓解措施缓解措施Spoofing

19、（欺骗）（欺骗）身份验证（Authentication）例如非法访问，如使用其他用户的身份验证信息（用户名和密码）进行认证。鉴别用户身份是否合法和正确。Tampering（篡改）（篡改）完整性（Integrity）恶意修改数据或代码 数据与系统资源只限适当的人员以适当的方式进行更改。Repudiation（抵赖）（抵赖）不可否认性（Non-Reputation）否认曾经进行某行为，没有方法可证明其行为 操作行为与发生时间不可否认。InformationDisclosure（信息泄露）（信息泄露）机密性（Confidentiality）信息被披露给那些无权知道的人或实体 资源只限应具有权限的人员

20、访问。DenialofService（拒绝服务）（拒绝服务）可用性Availability无法提供有效的用户服务 系统与资源在需要的时候一切就绪，可以被正常执行操作与访问。ElevationofPrivilege（提权）（提权）授权Authorization获得非正常授权的权限 明确允许或拒绝用户访问资源。2023 深圳站完整风险评估 威胁建模（举例）让我们继续以A移动应用系统为例。Oracle数据库可视为资产之一，对于该类资产，我们先分析出对应的潜在威胁：威胁1：敏感数据在应用服务器传输到Oracle数据库的过程中被泄露；威胁2：数字证书过期导致应用服务器与Oracle数据库之间的传输链路不

21、被信任；威胁3：攻击者可以通过非法途径获取改数据库的特权访问账号进行访问，导致敏感信息泄露；威胁12：如果备份数据被入侵，可能依旧会导致数据泄露；威胁13：当Oracle数据库所处的服务器被攻击者入侵，数据库中的数据可能会被泄露。2023 深圳站完整风险评估 威胁建模（举例）编号编号威胁威胁涉及威胁类型涉及威胁类型安全控制措施（缓解措施）安全控制措施（缓解措施）是否实施？是否实施？1敏感数据在应用服务器传输到Oracle数据库的过程中被泄露Information Disclosure（信息泄露）措施1：使用加密传输链路，比如TLS1.2措施2：使用符合企业及监管要求的加密算法对敏感数据在数据层

22、就预先进行加密 2数字证书过期导致应用服务器与Oracle数据库之间的传输链路不被信任；Spoofing（欺骗）系统具备完善的数字证书管理机制 3攻击者可以通过非法途径获取改数据库的特权访问账号进行访问，导致敏感信息泄露Spoofing（欺骗），Information Disclosure（信息泄露）在访问敏感数据前，必须进行身份认证，并且系统具备完善的特权账号管理机制 1212如果备份数据被入侵，可能依旧会导致数据泄露Information Disclosure（信息泄露）任何情况下对存储的数据都进行加密处理 1313当Oracle数据库所处的服务器被攻击者入侵，数据库中的数据可能会被泄露I

23、nformation Disclosure（信息泄露）措施1：为服务器及软件系统指定完善的更新与补丁策略措施2：任何情况下对存储的数据都进行加密处理 2023 深圳站完整风险评估 威胁建模（举例）5.记录威胁更准确的说是将上述步骤在项目系统中所识别到的威胁以固定模板形式进行描述的文档化过程。威胁名称威胁名称敏感数据在应用服务器传输到敏感数据在应用服务器传输到Oracle数据库的过程中被泄露数据库的过程中被泄露威胁描述威胁描述在A移动应用系统中，Oracle数据库在内网环境中为应用服务器提供数据存储功能，存储数据包含多类用户敏感数据，例如用户真实姓名、联系电话、证件信息等。所有敏感数据并未采取基

24、于数据层的加密保护，同时数据传输链路也为明文传输。因此，敏感数据在应用服务器传输到Oracle数据库的过程中存在被外部或内部攻击者嗅探的可能性，会导致敏感数据被泄露。威胁类型威胁类型Disclosure（信息泄露）资产资产Oracle数据库、各类用户敏感数据影响影响用户敏感数据泄露会对A移动应用系统及企业造成重大影响，包括业务损失，客户数据被外部利用。同时，会使企业的业务形象及信誉受损。如果数据涉及监管范围，甚至会给企业带来各类法律风险。威胁评级威胁评级（暂时留空）安全控制措施安全控制措施措施1：使用加密传输链路，比如TLS1.2措施2：使用符合企业及监管要求的加密算法对敏感数据在数据层就预先

25、进行加密2023 深圳站完整风险评估 威胁建模（举例）6.威胁评级我们需要结合各种威胁发生的可能性，来逐个对威胁项进行打分评级。根据威胁的级别排列，允许我们先解决出现最大风险的威胁，然后再解决其他威胁。1.方式一：基于公式计算的威胁评级风险等级分值（Risk Value）=威胁发生的概率（Probability）威胁的破坏潜力（Damage Potential）我们可以使用110的分值来量化威胁发生的概率，比如1代表该威胁发生的概率非常低，10则代表该威胁很有可能发生。同样，可以使用110的分值来量化威胁的破坏潜力，1代表破坏潜力非常小，10则代表破坏潜力非常大。威胁等级（威胁等级（Threa

26、tLevel）风险等级分值范围（风险等级分值范围（RangeofRiskValue）高风险高风险75100中风险中风险3075低风险低风险1302023 深圳站完整风险评估 威胁建模（举例）方式二：基于DREAD模型的威胁评级尽管基于公式计算的威胁评级可以为我们带来快速的评级方式，但对于许多情况来说，该方式的评级精确度不足，并没有从多维度去考虑威胁发生的各种影响因素。因此，微软建立了一套DREAD模型用来帮助企业进行更全面的威胁评级计算。高（高（3分）分）中（中（2分）分）低（低（1分）分）破坏潜力（破坏潜力（Damagepotential）攻击者可以完全破坏安全系统，获取完全认证权限，执行管

27、理员操作，可以进行非法上传等行为敏感信息被泄露一般信息被泄露再现性（再现性（Reproducibility）攻击者可以随意再次攻击攻击者可以重复攻击，但有时间或其它限制因素攻击者很难重复攻击过程可利用性（可利用性（Exploitability）初学攻击者短期能掌握攻击方法熟练的攻击者才能完成这次攻击该缺陷或漏洞利用条件非常苛刻受影响的用户（受影响的用户（Affectedusers）所有用户，默认配置，关键用户部分用户，非默认配置极少数用户，匿名用户可发现性（可发现性（Discoverability）缺陷或漏洞很明显，攻击条件很容易获得该缺陷或漏洞存在于项目系统内部或限定区域，仅部分人能看到，需

28、要深入挖掘发现缺陷或漏洞极其困难2023 深圳站完整风险评估 威胁建模（举例）将DREAD模型中威胁所对应五个维度高中低等级的分值相加，可以看出，最终的分值会在515之间。将分值1215定义为高风险，811定义为中风险，57定义为低风险。威胁威胁DREAD总分总分评级评级Oracle数据库存在的威胁数据库存在的威胁1敏感数据在敏感数据在应用服务器传输到应用服务器传输到Oracle数据库的过程中数据库的过程中被泄露被泄露2213210中风险需要注意，所有与合规相关的威胁风险都应贯穿在该体系中被考虑，并参照上述方式进行全面的威胁建模评估。2023 深圳站实践举例IriusRisk是目前我们在行内所

29、使用的一套威胁识别与风险管理平台，旨在协助开发人员和安全专业人员在整个DevSecOps过程中去识别、评估和管理项目的安全风险。它使用业界标准的风险评估方法来确定应用程序的风险等级，并提供了一些内置的修复建议，以帮助组织更好地理解其安全风险并制定相应的风险缓解计划。同时它也提供API接口和与其他开发和安全工具的集成，例如Jira、Git、Jenkins等，以便自动化安全测试和风险缓解流程。2023 深圳站实践举例如前文所述，步骤1和2由架构师及项目团队开展，即IriusRisk中进行架构设计图的创建、资产识别、技术参数的维护等。2023 深圳站在随后的工作中，IriusRisk会基于由安全团队

30、所维护的基于行内及业界特性、及STRIDE模型的威胁风险库，去识别项目设计中所涉及的一些潜在风险。再结合安全审查人员的研判，对项目提出一系列的安全措施检查。实践举例2023 深圳站项目团队需要根据IriusRisk及安全审查人员对项目所提出一系列的安全措施进行逐项检查，并将结果反馈给安全团队。实践举例2023 深圳站安全审查人员对项目团队所提供的反馈，及IriusRisk平台所产生的自动化建议，进行二次研判，确认是否仍有风险存在，提出改进建议，以及针对某些可接受风险采取相应的跟踪措施。IriusRisk再根据安全人员的研判结果，去计算出相应的风险值及对应评分。实践举例2023 深圳站实践举例安

31、全设计的风险评估是一个持续的动态的过程，项目团队需要再IriusRisk平台上及时维护应用系统的最新状态，并由安全团队持续跟进评估。所有已知风险的状态也需要通过平台进行持续的跟踪、监测、状态更新等。2023 深圳站05未来趋势未来趋势2023 深圳站威胁建模自动化步骤12由架构师与信息安全团队协作完成。通过与AI及特定算法的结合，步骤36由建模系统自动完成，减少人工介入的时间，信息安全团队与项目团队仅对步骤36中的结果进行校验，保持协作沟通。也就是说，通过自动化的威胁建模系统建设，可以最大程度减少人的介入的环节，提高建模效率，从而更有效的帮助项目团队实现安全职能的左移在设计阶段去发现、避免潜在

32、威胁与风险，实现安全快速的持续交付。2023 深圳站最后的话让我们以OWASP Top10 2021中官方的这句话来结束我们今天的主题：如果我们真的希望让整个产业“向左移动”，那我们必须进一步的往威胁建模，安全设计模块的观念，和安全參考架构前进。2023 深圳站2023 深圳站 THANKS更多疑问可联系我:frankzhouChinaDevSecOOfficial Wechat感谢聆听CSDN全球最大的中文开发者社区平台CSDN全球最大的中文开发者社区平台CSDN创立于1999年全球编程类网站排名第7（来源：Similarweb 2023.04）注册用户超过4300万，覆盖90%的中文开发者新媒体矩阵粉丝数量超过3100万超过1000家企业客户和合作伙伴目前公司员工近800名，分布在北京、长沙、上海、深圳、杭州、成都等城市，并在美国硅谷常设办事处旗下品牌旗下品牌专业中文IT技术社区：CSDN.NET多媒体专业出版：新程序员开发者专属移动APP:CSDN APP代码托管协作平台：GitCode代码工具协同平台：InsCodeIT人力资源服务：科锐福克斯丨八爪网络高校IT技术学习成长平台：高校俱乐部