摘要:20年安全研發積澱,華為雲釋出5大研發安全能力。
随着雲原生的普及,企業的研發模式也轉向了以DevOps為代表的靈活模式。如何在靈活模式下做好軟體安全,成為企業關注的核心問題。4月25日,在華為 HDC.Cloud 2021大會上,華為雲應用平台産品部安全領域産品副總監章可镌發表了題為《20年研發安全積澱,劍指DevSecOps未來》的演講,分享了基于華為20多年研發安全積累外溢的5大安全能力,以及外溢成雲服務後如何與華為雲DevOps平台DevCloud協同,讓企業實作DevSecOps:在靈活開發過程中就内置了安全措施,讓軟體“天生安全,健康成長”,成為企業的競争力。
業界長期重視軟體上線後的安全防護,而對研發階段的安全投入不多。2012年,Gartner提出了DevSecOps的理念。其提出正逢“安全左移”的春風在IT界吹拂——即企業越來越意識到,軟體應在研發側“更早”“更快”地發現并處理安全風險,而不是先上線,再花費大量精力在現網安全問題的發現和響應上。據Gartner報告,安全風險越靠近運維側,則企業要花費的安全成本越高。
是以,在軟體産品的設計與開發階段,就制定安全品質規則、分析安全需求、進行安全設計、按安全要求進行編碼、對打包後的軟體進行漏洞檢測,驗證和閉環安全問題;在軟體部署及運作階段,感覺安全問題,建立系統性的防護體系,研發和運維階段無縫銜接,内置安全,是企業軟體研發的必由之路。
與任何事物的發展一樣,華為的研發安全能力也是伴随業務發展中不斷出現的安全問題逐漸成型的:90年代,華為主要聚焦電信領域安全;2000年到2011年,華為業務逐漸橫跨整個ICT領域,安全問題變得多樣化,華為開始形成各類安全規範和工具鍊以有序應對安全挑戰;2011年到2017年,華為繼續增強安全規範和工具的投資,形成完善的研發安全流程和工具鍊;2017年到2018年,應對内外客戶的安全需求,從華為“自己安全”轉變為“幫助客戶安全”,要在産品和解決方案中構築安全競争力成為公司常态;2018年至今,則在内外重大事件的影響下,從“安全”更新到“可信”,在軟體中構築可信能力成為公司基本要求。
在這20多年的漫長演進中,華為積累了深厚的研發安全文化、流程和工具鍊,經曆了超大規模複雜場景的考驗,比如,單代碼安全掃描量,每天就超過500億行。這些積累,在2021年将逐漸開放為“4+1”能力:四大研發安全能力域,一個企業級專家服務,這“4+1”又組成了完整的華為雲研發安全服務:
在系統需求分析和設計階段,怎樣才能使産品更安全?在什麼樣的子系統、子產品、資料流之間考慮安全風險?識别了風險後,怎麼消減?
華為雲開放的安全設計域,對STRIDE方法論進行更新,用于系統威脅分析,提供分析次元、參考案例,輔助進行安全設計,識别風險;識别風險後,智能推薦消減措施及測試用例,輸出分析報告;内置的華為長期積累的安全風險識别方案、消減方案、設計方案、測試用例、場景樣例與知識,極大降低企業安全設計門檻。
隐私保護法規條目衆多,如何才能友善地将法規要求轉化為系統設計需求?
華為雲開放的隐私合規域,根據對GDPR等的解讀與業務分析,提供工具,生成隐私合規報告、隐私聲明,幫助企業合規設計;根據隐私合規設計方案,自動生成和執行測試用例,最後給出隐私合規驗證報告;内置的基于華為終端、智能汽車等業務打磨出的隐私設計架構,幫助企業快速形成行業解決方案并複制至其它行業。
企業和個人開發者一般專注于軟體功能的實作,很少具備專業的安全背景,如何将安全問題盡可能攔在編碼階段?
華為雲開放的代碼檢查域,支援:
支援C/C++/Java/JS/Python/Go等多語言檢查;支援OWASP Top10和CWE安全編碼問題、數十個華為程式設計規範中的典型安全問題檢測,有效攔截緩沖區溢出、空指針引用、危險函數、安全函數誤用、各類注入等安全問題;可在代碼編寫時(IDE級)實時分析,送出時(門禁級)進行一般問題提前處理,版本全量建構(版本級)時融入流程觸發自動安全掃描,“三重門”,深度攔截代碼安全問題。
支援并行掃描,重量級掃描每小時可達百萬行,日吞吐量過百億行;支援掃描告警屏蔽、屏蔽結果可繼承、智能誤報識别、誤屏蔽智能發現;多元度資料,可發現組織内的安全編碼問題分布、趨勢,呈現“代碼安全态勢”,及時且宏觀的識别風險,確定安全工具正确應用。
提供行業特有的安全編碼掃描規則集;聚焦最新安全問題,動态擴充檢查能力;可靈活內建第三方安全檢查引擎,統一報告、統一告警處理,也可被內建至第三方持續內建/持續釋出流水線中。
沒有絕對的安全,當研發已經盡力,軟體即将打包釋出上線,是否就沒有安全措施可以做了?有,這就是上線前的最後一公裡:軟體漏洞掃描。
華為雲開放的漏洞掃描域,支援:
覆寫Web、主機、鏡像、二進制、終端應用的全場景漏洞掃描能力,支援華為、OWASP等業界優秀實踐,支援等保2.0等标準。
提供典型Web漏洞精準檢測,在CVE漏洞評估方面更貼近真實威脅;在APK開源元件掃描和資訊洩露檢測方面,具備更精準的檢測能力,是以可以提供更專業的修複建議。
聚焦最新安全漏洞,動态擴充掃描能力;可靈活內建第三方漏洞掃描引擎,統一報告展示,支援漏洞去重,也可被內建至第三方持續內建/持續釋出流水線中。
安全工具鍊是研發安全體系的基礎,但光有工具,沒有融入到企業現有文化和流程中,則工具的作用将大打折扣。如何實作從安全工具鍊到流程到文化層層建構研發安全體系?
華為雲将開的放企業級研發安全專家服務,提供檢查能力定制;工具工程能力定制;安全營運體系顧問;工具評估标準設立等,幫助企業不僅用好安全工具鍊,更深刻認識安全流程如何協調團隊和工具的使用,最後形成牢不可破的安全文化,将安全融入企業的基因中。
作為國内領先的DevOps平台,華為雲DevCloud是源自華為30年、國内唯一多業務形态、多研發模式的最佳研發實踐,能讓軟體開發和建構的效率提升10倍,已服務100多萬開發者,覆寫32個軟體園區,在權威機構IDC釋出的報告中市場表現與産品能力均排名中國廠商第一。
而華為已開放的運維安全能力和服務,加上即将開放的研發安全能力和服務,除獨立提供服務,還與DevCloud深度融合,為企業帶來國内首個DevSecOps平台,讓企業便捷的落地DevSecOps理念,在軟體開發過程中就内置了安全保護,讓軟體“天生安全,健康成長”,成為企業的競争力。
戳我了解華為雲DevCloud
本文分享自華為雲社群《20年安全研發積澱,華為雲釋出5大研發安全能力》,原文作者:灰灰哒 。
點選關注,第一時間了解華為雲新鮮技術~