12月18日,由贝壳找房主办的ICS安全技术峰会在北京海航万豪酒店召开,本次会议围绕“产业互联、安全破局”的主题,汇聚腾讯、京东、贝壳找房、小米、字节跳动、长亭科技等各产业互联网领域头部企业的安全负责人和安全专家,共同就产业互联网融合下的安全趋势、安全新挑战进行剖析。京东集团信息安全部基础安全架构师李宝发表了有关DevSecOps创新实践的演讲。
最初,京东安全采用很多企业广泛使用的SDL(安全开发全生命周期)技术框架进行安全管控,在软件开发流程的各个阶段引入安全和隐私问题,安全人员从应用的需求分析开始,就全流程地参与到整个应用的开发当中,前置性地利用安全技术,帮助开发者去保证应用的安全与合规。通过实施SDL,京东的安全建设取得了不错的成效,大大降低了上线应用的安全风险和漏洞数量。
不过,随着业务的发展速度加快、业务变化和复杂度不断攀升,问题逐渐显现。首先,随着产业互联网融合加深,企业数字化转型加速,在敏捷开发的加持下,企业的应用数量激增,以京东为例,目前自研的业务应用数量在短短几年间就告诉增长了十几倍,逐个应用去投入安全人员参与全流程开发,人力、成本都难以支撑,效率也会大打折扣。其次,云化、容器化、AIoT等技术的发展,产生了很多新型安全问题,由此产生的新型攻击也是层出不穷,安全人员很难在突发应急响应的过程中,第一时间就覆盖所有业务和应用。
在京东,安全紧随业务发展,变革之路势在必行。
如何改变?李宝指出,一方面,从技术上,需要一套新的、能够自动化发现安全问题的技术框架,不仅需要从开发端最大程度地减少问题,也要能够在应用上线后出现漏洞时,能够快速敏捷地解决问题;另一方面,为了避免忙于“救火”和“打地鼠”,李宝提到,“安全问题并不是安全团队可以独立解决的事情,需要开发者和运营者能够熟练操作这套自动化的技术框架,安全人员则扮演赋能者和指导者的角色。”
李宝提到的这个技术框架,就是DevSecOps。京东集团正在落地实践这套体系。
关于DevSecOps自动化和闭环完整性的优势自不必说。在会上,李宝介绍了京东在DevSecOps框架中的创新与最佳实践。
以前置代码安全为例,很多企业的开发人员在编写代码时没有考虑到安全因素,最终在CI/CD(持续集成/持续交付)的过程中发现了问题,为此要付出高昂的修正成本。为了解决这个问题,京东安全主要从两方面入手:
一方面,京东安全制定了一整套严谨的编码标准,从源头上去提升研发人员的代码质量;
另一方面,“只要有人工操作就难免有失误”,为了最大限度地减少漏洞数量,京东安全还采用前置代码的方式去自动化地排查安全隐患,比如在开发人员的IDE环境当中置入代码安全引擎,这套引擎有自动触发、检测及时、使用简单、定位准确、更新方便等诸多优点,能够在开发人员写代码过程中,自动化、友好地提醒他们存在的安全隐患。
除此之外,“授人以鱼不如授人以渔”,它还能针对性的给出代码修改建议。长此以往,则会带动开发人员编码质量和安全意识、安全水平的整体提升。
目前,很多公司均在应用在DAST(动态应用程序安全测试)技术,与其不同的是,京东安全通过业务流重放的模式,模拟黑客行为覆盖到业务的全流程,以确保最大程度地发现潜在风险。
除了编码阶段的前置代码安全和测试阶段的DAST实践,李宝还在会上介绍了京东安全在发布阶段的构建可信应用,以及应用上线后的漏洞热修复方面的创新与实践,覆盖了整个DevSecOps闭环的各个阶段。
凭借DevSecOps的落地和创新利用,通过一系列安全框架最佳实践落地措施,集团各个业务线研发人员的安全意识、安全水平明显明显提提升,安全建设成效显著——尽快集团的应用数量大幅上升到两百万的量级,但是应用上线前的漏洞数量总量却比之前下降了百分之六十之多。
达则兼济天下。
在前不久的京麒网络安全大会上,京东安全发布了全新的企业安全操作系统,此系统是在京东安全多年建设经验和技术的基础上,对于其中精华技术和创新实践的方法论沉淀。在不久的将来,京东安全希望能够通过这套系统,将京东的甲方最佳安全实践和创新技术,以生态连接的方式,赋能给行业,帮助更多企业构建安全、高效、低成本的业务环境。
(免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。 )