安全玻璃盒 IAST | 如何构建应用安全全生命周期解决方案——【DevSecOps】（玻璃钢防爆盒）

安全玻璃盒 IAST | 如何构建应用安全全生命周期解决方案——【DevSecOps】（玻璃钢防爆盒）

为何需要建立DevSecOps？

1.1应用软件安全风险的影响面对当前万物智能互联、数字经济高速发展的大环境下，应用软件安全对于推动我国数字经济发展、维护社会稳定及国家安全都将起着至关重要的地位和作用。据Gartner报告显示：超过 80% 的网络攻击都发生在应用层，所披露的漏洞70%以上与应用安全有关，特别是SQL注入、XSS、CSRF、目录遍历等漏洞，所以应用安全将是安全保障的重中之重。

1.2安全需要前置当前以云计算、大数据及人工智能等为核心技术，构建了万物互联的数字智能世界，消除了原有传统网络和应用的边界，让原本边界安全防护理念付诸东流，给安全带来了极大的挑战。在万物互联背景下，我们要从“有病治病”向“增强体质”的思维转变，要围绕以“业务和数据为核心”,以“在万物互联时代下，不仅需要更多的安全软件，而且需要更安全的软件”为安全理念，将安全工作前置在开发、测试等各个环节，达到“安全即代码、治标亦治本”的安全目标。如未能在上线前和生产过程中进行持续测试并且修复安全问题，就无法确保应用上线及投产后其持续改进的安全性。安全前置，不仅大大提升应用软件的安全能力，而且可在最早阶段、用最低成本解决最大比例的安全风险，所以安全前置是万物互联环境下的核心创新安全理念和最佳安全赋能措施。

1.3新技术新应用所带来的新风险万物互联的数字智能世界，推动着全球数字经济的高速发展，面对于云上应用、大数据应用、产业互联网以及物联网智能应用软件，消除了原有网络和应用的安全边界，当前主流检测与防护技术都难以满足万物互联背景下的安全赋能，特别针对当前容器应用、API、微服务等新应用架构和应用加密、防重放、带验签等新应用场景下的安全赋能。我们以“万物互联时代，不仅需要更多的安全软件，而且需要更安全的软件”为安全核心思想，让安全贯穿开发至运营的各个环节。利用AI和自动化等新技术实现安全新赋能，将安全与软件高度耦合的交互式应用安全检测与防护技术，让安全与业务高耦合、相同步、相适应，不仅为用户提供更安全的软件，同时也满足在万物互联环境对应用软件的安全防护。

1.4运行防护也是重要组成部分既不能陷入“将安全漏洞的数量降为零”的错误追求中，安全开发、测试的负担识别加重，且很可能成为业务发展的一个障碍；所以持续的风险和信任评估以及对应用程序漏洞要进行优先级排序，可以通过使用运行时保护控制来补偿已知较低风险的脆弱性或未知脆弱性的剩余风险。

构建DevSecOps工作的重点和难点

DevSecOps安全解决方案，以“万物互联时代，不仅需要更多的安全软件，而且需要更安全的软件”为核心安全理念，让安全贯穿整个业务生命周期的各个环节，包括技术开发、测试、发布、上线、部署及运营等各个阶段。从而构建新一代安全、高效、合规的全生命周期应用安全运营体系，从安全供给侧为“数字经济”保驾护航。

n 安全人人有责让开发、安全、运维共同拥抱DevSecOps理念与文化，需要改变过去只有安全人员对安全负责的态度和观念，不能让仅极少数的安全人员，被视为是对项目推进的阻碍、内部生产效率的破坏，必须能让开发、运维和安全都应该对安全负责，协同工作、共同担当。n 安全服务经营

安全目标是应用系统的安全风险降低到用户可接受的程度并满足合规性的要求；如果没有监管方面的缺陷，那么可以接受多少风险并不取决于信息安全，而是由业务应用所有者最终做出的商业决策。

n 安全全生命周期以基于“万物互联时代，不仅需要更多的安全软件，而且需要更安全的软件”为核心安全理念和安全服务经营的宗旨。从而构建基于应用的全生命周期安全运营体系，让安全贯穿整个业务生命周期（从开发到运营）的各个环节，包括技术开发、测试、上线及运营等各个阶段的安全赋能。从而构建新一代安全、高效、合规的全生命周期应用安全运营体系，从安全供给侧为“数字经济”保驾护航。

2.2安全集成流程自动化信息安全要为企事业单位的经营和发展服务，业务发展和工作效率是企业发展的关键要素与核心竞争力，信息安全工作必须适应开发至运营各个环节的工具及流程，不能因信息安全工作让开发、运维工作者离开他们熟悉的工具链环境，让工作流程变复杂、工作效率更低，而是要让IT工作者时间更有商业价值。DevSecOps是将安全通过AI和自动化检测技术高效、透明地融入开发至运营的各个环节，集成到开发者的开发环境（IDE）和CI/CD工具链的工具中，不改变原有的工作环境和生态链，从而构建便捷、高效、安全及合规的应用安全能力。

通过自适应应用安全架构和智能检测算法，可实现执行类0 day应用漏洞的实时检测与防护，达到运行时"自我保护"的安全能力；同时可对敏感信息、运行环境及三方组件进行实时安全检测和分析；完全适用云上应用、大数据技术应用和物联网智能互联等应用平台的安全检测和防护。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。