1、研發運營安全白皮書前言近年來，安全事件頻發，究其原因，軟件應用服務自身存在代碼安全漏洞，被黑客利用攻擊是導致安全事件發生的關鍵因素之一。隨著信息化的發展，軟件應用服務正在潛移默化的改變著生活的各個方面，滲透到各個行業和領域，其自身安全問題也愈發成為業界關注的焦點。傳統研發運營模式之中，安全介入通常是在應用系統構建完成或功能模塊搭建完成之后，位置相對滯后，無法完全覆蓋研發階段的安全問題。在此背景下，搭建整體的研發運營安全體系，強調安全左移，覆蓋軟件應用服務全生命周期安全，構建可信理念是至關重要的。本白皮書首先對于研發運營安全進行了概述，梳理了全球研發運營安全現狀，隨后對于信通院牽頭搭建的研發運營

2、安全體系進行了說明，歸納了研發運營安全所涉及的關鍵技術。最后，結合當前現狀總結了研發運營安全未來的發展趨勢，并分享了企業組織研發運營安全優秀實踐案例以供參考。目錄 HYPERLINK l _bookmark0 一、研發運營安全概述 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark1 （一）研發層面安全影響深遠，安全左移勢在必行 HYPERLINK l _bookmark1 1 HYPERLINK l _bookmark2 （二）覆蓋軟件應用服務全生命周期的研發運營安全體系 HYPERLINK l _bookmark2 4 HYPERLINK l _b

3、ookmark3 二、研發運營安全發展現狀 HYPERLINK l _bookmark3 5 HYPERLINK l _bookmark4 （一）全球研發運營安全市場持續擴大 HYPERLINK l _bookmark4 5 HYPERLINK l _bookmark7 （二）國家及區域性國際組織統籌規劃研發運營安全問題 HYPERLINK l _bookmark7 7 HYPERLINK l _bookmark9 （三）國際標準組織及第三方非盈利組織積極推進研發運營安全共識 HYPERLINK l _bookmark9 12 HYPERLINK l _bookmark11 （四）企業積極探索

4、研發運營安全實踐 HYPERLINK l _bookmark11 14 HYPERLINK l _bookmark13 （五）開發模式逐步向敏捷化發展，研發運營安全體系隨之向敏捷化演進 HYPERLINK l _bookmark13 19 HYPERLINK l _bookmark15 三、研發運營安全關鍵要素 HYPERLINK l _bookmark15 21 HYPERLINK l _bookmark16 （一）覆蓋軟件應用服務全生命周期的研發運營安全體系 HYPERLINK l _bookmark16 22 HYPERLINK l _bookmark17 （二）研發運營安全解決方案同步

5、發展 HYPERLINK l _bookmark17 31 HYPERLINK l _bookmark18 四、研發運營安全發展趨勢展望 HYPERLINK l _bookmark18 41 HYPERLINK l _bookmark19 附錄：研發運營安全優秀實踐案例 HYPERLINK l _bookmark19 43 HYPERLINK l _bookmark20 （一）華為云可信研發運營案例 HYPERLINK l _bookmark20 43 HYPERLINK l _bookmark21 （二）騰訊研發運營安全實踐 HYPERLINK l _bookmark21 50 HYPERL

6、INK l _bookmark22 （三）國家基因庫生命大數據平臺研發運營安全案例 HYPERLINK l _bookmark22 58圖 目 錄圖 1 Forrester 外部攻擊對象統計數據2圖 2 研發運營各階段代碼漏洞修復成本3圖 3 研發運營安全體系4圖 4 Cisco SDL 體系框架圖16圖 5 VMware SDL 體系框架圖17圖 6 微軟 SDL 流程體系20圖 7 DevSecOps 體系框架圖21圖 8 研發運營安全解決方案階段對應圖32表 目 錄 HYPERLINK l _bookmark5 表 1 2019-2020 全球各項安全類支出及預測6 HYPERLINK

7、l _bookmark6 表 2 2019-2020 中國各項安全類支出及預測7 HYPERLINK l _bookmark8 表 3 重點國家及區域性國際組織研發運營安全相關舉措12 HYPERLINK l _bookmark10 表 4 國際標準組織及第三方非營利組織研發運營安全相關工作14 HYPERLINK l _bookmark12 表 5 企業研發運營安全具體實踐19 HYPERLINK l _bookmark14 表 6 SDL 與 DevSecOps 區別對照21一、 研發運營安全概述（一）研發層面安全影響深遠，安全左移勢在必行隨著信息化的發展，軟件應用服務正在潛移默化的改變著

8、生活的各個方面，滲透到各個行業和領域，軟件應用服務的自身安全問題也愈發成為業界關注的焦點。全球安全事件頻發，代碼程序漏洞是關鍵誘因之一。2017 年，美國最大的征信機構之一 Equifax 因未能及時修補已知的安全漏洞發生一起涉及 1.48 億用戶的數據安全、隱私泄露事件，影響幾乎一半的美國人口；國內電商因優惠券漏洞被惡意牟利，酒店、求職等網站也曾發生數據安全事件，泄露百萬級、億級用戶隱私數據。究其原因， 軟件應用服務自身安全漏洞被黑客利用攻擊是數據安全事件層出不窮關鍵因素之一。根據 Verizon 2019 年的研究報告Data Breach Investigations Report，在總

9、計核實的 2013 次數據泄露安全事件中，超過 30%與 Web 應用程序相關，Web 應用程序威脅漏洞具體指程序中的代碼安全漏洞以及權限設置機制等。Forrester 2019 年發布的 調 查 報 告 Forrester Analytics Global Business Technographics Security Survey，2019中顯示，在 283 家全球企業已經確認的外部攻擊中，針對軟件漏洞以及 Web 應用程序是位于前兩位的，分別占比達到了 40%與 37%，具體數據見圖 1，其中軟件漏洞主要指對于安全漏洞的利用攻擊，攻擊 Web 應用程序主要指基于程序的SQL 注入、跨站

10、腳本攻擊等。1%6%20%19%14%25% 30% 35% 40% 45%40%37%28%25%25%25%25%0%5% 10% 15% 20%軟件漏洞（漏洞利用）Web應用程序（SQL注入、跨站腳本 使用被盜憑證（加密秘鑰）DDoS水坑攻擊移動惡意軟件利用丟失/被盜資產DNS釣魚勒索軟件社會工程學其他數據來源：Forrester圖 1 Forrester 外部攻擊對象統計數據根據咨詢公司Gartner 統計數據顯示，超過 75%的安全攻擊發生在代碼應用層面。已知安全漏洞中，應用程序安全漏洞與 Web 應用程序安全漏洞占多數。美國國家標準技術研究院（NIST）的統計數據顯示 92%的漏洞

11、屬于應用層而非網絡層。國家計算機網絡應急技術處理協調中心2020 年 4 月的發布的數據顯示，2019 年，國家信息安全漏洞共享平臺（CNVD）收錄的安全漏洞數量創下歷史新高，數量同比增長 14.0%，達到 16193 個，其中應用程序漏洞占比 56.2%，Web 應用程序占比 23.3%，二者相加占比超過 76%，充分說明安全漏洞大多存在于軟件應用服務本身。傳統研發運營安全模式中，安全介入相對滯后。傳統研發運營安全，針對服務應用自身的安全漏洞檢測修復，通常是在系統搭建或者功能模塊構建完成之后以及服務應用上線運營之后，安全介入，進行安全掃描，威脅漏洞修復。如當前的大多數安全手段，防病毒、防火墻

12、、入侵檢測等，都是關注軟件交付運行之后的安全問題，屬于被動防御性手段。這種模式便于軟件應用服務的快速研發部署，但安全介入相對滯后，并無法覆蓋研發階段代碼層面的安全，安全測試范圍相對有限，安全漏洞修復成本也更大。安全左移有助于幫助企業削減成本。代碼是軟件應用服務開發的最初形態，其缺陷或漏洞是導致安全問題的直接根源，盡早發現源碼缺陷能夠大大降低安全問題的修復成本。根據美國國家標準與技術研究所（NIST）統計，在發布后執行代碼修復，其修復成本相當于在設計階段執行修復的 30 倍。具體數據如圖 2 所示。數據來源：美國國家標準與技術研究所（NIST）圖 2 研發運營各階段代碼漏洞修復成本在此背景下，搭

13、建新型的研發運營安全體系，進行安全左移，覆蓋軟件應用服務的全生命周期，是至關重要，也是勢在必行的。建立新型的研發運營安全體系有助于構建可信理念，創造可信生態，是實現軟件應用服務全生命周期安全的重要一步。 PAGE 4（二）覆蓋軟件應用服務全生命周期的研發運營安全體系新型研發運營安全體系強調安全左移，覆蓋軟件應用服務全生命周期。本白皮書認為的研發運營安全指結合人員管理體系、制度流程， 在軟件應用服務設計早期便引入安全，進行安全左移，覆蓋要求階段、安全需求分析階段、設計階段、研發階段、驗證階段、發布階段、運營階段、停用下線階段的全生命周期，搭建安全體系，降低安全問題解決成本，全方面提升服務應用安全

14、，提升人員安全能力。具體架構體系如下圖 3 所示。圖 3 研發運營安全體系圖片來源：中國信息通信研究院體系框架具體內容包括：1）管理制度，建立合適的人員組織架構與制度流程，保證研發運營流程安全的具體實施，針對人員進行安全培訓，增強安全意識，進行相應考核管理；2）明確安全要求，前期明確安全要求，如設立質量安全門限要求，進行安全審計，對于第三方組件進行安全管理等；3）安全需求分析與設計，在研發階段之前， 進行安全方面的需求分析與設計，從合規要求以及安全功能需求方面考慮，進行威脅建模，確定安全需求與設計；4）安全研發測試，搭配安全工具確保編碼實際安全，同時對于開源及第三方組件進行風險管理，在測試過程

15、中，針對安全、隱私問題進行全面、深度的測試；5） 安全發布，服務上線發布前進行安全性審查，制定事先響應計劃，確保發布安全；6）運營安全，上線運營階段，進行安全監控與安全運營，通過滲透測試等手段進行風險評估，針對突發事件進行應急響應， 并及時復盤，形成處理知識庫，匯總研發運營階段的安全問題，形成反饋機制，優化研發運營全流程；7）停用下線，制定服務下線方案與計劃，明確隱私保護合規方案，確保數據留存符合最小化原則，滿足國家相關規范要求。二、 研發運營安全發展現狀（一）全球研發運營安全市場持續擴大全球信息安全市場保持穩定增長，應用安全市場增速高于整體安全市場。本白皮書提出的研發運營安全強調安全左移，通

16、過自動化安全測試工具，關注軟件應用服務代碼層面安全，與應用安全緊密關聯。根據Gartner 2020 年 6 月發布的統計數據顯示，全球 2019 年各項安全類支出總計 1209.34 億美元，預計 2020 年將達到 1238.18 億美元，其中應用安全市場規模 2019 年為 30.95 億美元，預計 2020 年將達到市場領域20192020增長率（%）應用安全309532876.2云安全43958533.3數據安全266228527.2身份訪問管理9837104095.8基礎設施保護16520174835.8綜合風險管理455547313.8網絡安全設備1338711694-12.6其

17、他信息安全軟件220622733.1安全服務61979642703.7客戶安全軟件62546235-0.3總計1209341238182.4億美元，年增長率達到 6.2%，明顯高于整體信息安全市場的2.4%年增長率，具體數據如表 1 所示。數據來源：Gartner，2020 年 6 月表 1 2019-2020 全球各項安全類支出及預測（單位：百萬美元）我國應用安全市場增速高于全球，市場規模占全球比例達到近三分之一。2019 年，我國應用安全市場規模達到 8.48 億美元，市場規模占全球應用安全市場規模比例達到近三分之一，預計 2020 年市場規模將達到 9.45 億美元，年增長率達到 11.

18、5%，高于全球 6.2%的增長率。具體數據如表 2 所示。市場領域20192020增長率（%）應用安全84894511.5云安全133614488.3數據安全5656169身份訪問管理173018527.1基礎設施保護213923188.4綜合風險管理971069.9網絡安全設備75187111-5.4其他信息安全軟件3793954.2安全服務131731507814.5客戶安全軟件27784298697.5總計84894511.5數據來源：Gartner，2020 年 6 月表 2 2019-2020 中國各項安全類支出及預測（單位：百萬美元）應用程序安全測試（AST）市場增速最為迅猛，市場

19、規模占比超過應用安全總體市場規模的三分之一。根據 Gartner 2019 年 4 月發布的報告調查數據顯示，應用安全測試市場預計將以 10的復合年增長率增長，這仍是信息安全領域中快速增長的部分，到 2019 年底， AST 的市場規模估計將達到 11.5 億美元，市場規模占比超過應用安全總體市場規模的三分之一。根據Industry Research 2019 年 8 月發布的數據顯示，按照應用程序安全測試類型區分，靜態應用程序安全測試（SAST）將占主導地位，預計將以 24.06的復合年增長率增長，交互式應用程序安全性測試（IAST）預計將以最快的 27.58的復合年增長率增長。（二）國家及

20、區域性國際組織統籌規劃研發運營安全問題重點國家與區域性國際組織已發布政策規范，重視研發運營安全問題。軟件應用服務是信息化的重要組成部分，源代碼是軟件應用服務的最原始形態。越來越多的國家已經意識到軟件應用服務的源代碼安全的重要性，在強調安全運營、防御的基礎之上，通過發布一系列政策以及指南，從國家層面規范此方面的工作。目前美國、英國、俄羅斯、印度、澳大利亞以及歐盟等國家和區域組織都已經推行涉及研發運營安全的戰略、規范或指南，其中以美國、英國、印度、歐盟最為典型。美國發布戰略計劃，關注研發運營安全。美國越來越依賴于網絡空間，但安全并未跟上網絡威脅的增長。關于研發安全，美國國家科技委員會（NSTC）網

21、絡和信息技術研發分委會在 2019 年 12 月發布聯邦網絡安全研發戰略計劃，主要內容涵蓋四個相互關聯的防御能力：威懾、保護、探測、響應。在威懾能力中明確提出，設計安全的軟件是威懾手段之一；保護能力關于研發安全具體包含兩個方面的內容，1）減少脆弱性，具體行為包括安全設計、安全開發、安全驗證、可持續安全；2）執行安全原則，具體涵蓋使用加密機制保護數據，提高訪問控制效率，避免安全漏洞引入。此外，美國國土安全部資助軟件質量保證（SQA）項目，提升軟件應用安全性，軟件質量保證（SQA）項目發展工具與技術，用于分析識別軟件中的潛在安全漏洞，具體而言，該項目強調軟件代碼開發過程中，安全性分析以及脆弱性識別

22、，從而在開發過程的早期發現并消除漏洞、缺陷。關于運營安全，聯邦網絡安全研發戰略計劃中提出的探測與響應能力和運營安全密切相關，具體內容包括實時監測系統安全，及時檢測甚至預測安全威脅，動態評估安全風險，對于安全威脅進行聯動、自適應處理等內容。英國推行源碼審查，發布研發運營安全相關戰略指南，提升整體軟件應用服務安全性。英國基于自身 IT 產業情況，使用其他國家企業的網絡信息技術產品和服務的情況較多，供應鏈更為復雜。針對軟件應用代碼安全以及研發安全，英國推行網絡安全審查機制，采用相對市場化的評估機制，這其中就包括深層次的源代碼審查測試，檢測相關產品或服務是否存在安全缺陷或漏洞。同時，英國國家網絡安全中

23、心（NCSC）于 2018 年 11 月發布安全開發和部署指南，具體包含 8 項安全開發原則，1）安全開發關系每一個人；2）保持安全知識實時更新；3）研發干凈可維護的代碼；4）保護開發環境；5）保護代碼庫；6）保護構建和部署管道；7）持續進行安全性測試；8）對于安全威脅、漏洞影響提前計劃，8 項原則均與研發安全密切相關。針對運營安全，國家網絡安全戰略 2016-2021中明確提出要提升防御能力，提高政府和公共部門抵御網絡攻擊的彈性，定期評估關鍵系統的安全漏洞，業界應與國家網絡安全中心（NCSC）共享網絡威脅最新情報，進行主動防御等具體舉措。印度推行國家戰略，推動系統應用研發運營安全。印度作為軟

24、件開發大國，對代碼安全方面的要求較高。針對研發安全，印度國家網絡協調中心（NCCC）在 2013 年曾發布國家網絡安全戰略（NCSS 2013），推動網絡安全研究與開發是其戰略之一，包括解決與可信系統的開發、測試、部署和維護整個生命周期相關的所有問題。2020 年，正在征求意見更新國家網絡安全戰略（NCSS 2020），安全測試左移，集成到開發周期之中，安全團隊成為應用程序開發生命周期的一部分是主要趨勢之一。針對運營安全，在戰略中提出，創建安全威脅早期預警、漏洞管理和應對安全威脅的機制；建立國家級的系統、流程、結構和機制，對現有和潛在網絡安全威脅進行必要情境推測。歐盟頒布實施法案，注重國際合作

25、，推進整體的研發運營安全。歐盟在 2019 年 6 月 27 日，正式施行網絡安全法案，旨在有效應對隨著數字化和連接性的增加而帶來的與網絡安全相關的各類風險， 防范對計算機系統、通信網絡、數字產品、服務和設備等帶來的潛在威脅，進一步完善歐盟的網絡安全保護框架。針對研發設計安全，明確提出，參與產品設計開發的組織、制造商、提供商應在設計和開發的早期階段采取安全措施，推測安全攻擊的發生，減少安全風險的影響，同時安全應貫穿產品全生命周期，以減少規避安全風險。針對運營安全，強調制定和更新聯盟級別的網絡和信息系統安全策略，對于安全事件聯合處理，內部成員國共享安全信息、技術解決辦法，提升事件處置的效率。 P

26、AGE 12美國英國印度歐盟國家政策、指南聯邦網絡安全研發戰略計劃軟件質量保證（SQA）項目網絡安全審查機制安全開發和 部 署 指南國家網絡安全戰略網絡安全法案研發安全聯邦網絡安全研發戰略計劃中涵蓋威懾、保護、探測、響應四項能力，其中威懾、保護與研發安全密切相關，在威懾中明確提出，設計安全的軟件是威懾手段之一；保護具體包含兩個方面，1）減少脆弱性，具體行為包括安全設計、安全開發、安全驗證、可持續安全；2） 執行安全原則，具體涵蓋使用加密機制保護數據，提高訪問控制效率，避免安全漏洞引入；美國國土安全部資助軟件質量保證（SQA） 項目，提升軟件應用安全性，軟件質量保證（SQA）項目發展工具與技術，

27、用于分析識別軟件中的潛在安全漏推行網絡安全 審 查 機制， 采用相對市場化的評估機制， 其中包括深層次的源代碼 審 查 測試， 檢測相關產品或服務是否存在安全缺陷或漏洞英國國家網絡安全中心（NCSC）發布安全開發和部署指南，包含 8 項安全開發原則，1）安全開發關系每一個人； 2）保持安全知識實時更新；3）研發干凈可維護的代碼；4） 保護開發環境；5）保護代碼庫；6） 保護構建和部署管道； 7）持續進行安 全 性 測試；8）對于安全威脅、漏洞影響提印度國家網絡協調中心（NCCC）在2013 年發布國家網絡安全戰略（NCSS2013），推動網絡安全研究與開發是其 戰 略 之一， 包括解決與可信系

28、統的開發、測試、部署和維護整個生命周期相關的所有問題。2020 年， 正在征求意見更新國家網絡安全戰略（NCSS2020），安全測試左移， 集成到開發周期之中， 安全團隊成為應用程序開發生命周期的一部分是主要趨勢之一。2019 年 6 月27 日施行的網絡安全法案中明確提出， 參與產品設計開 發 的 組織、制造商、提供商應在設計和開發的早期階段采取安全措施， 推測安全攻擊的發生， 減少安全風險的影響， 同時安全應貫穿產品全生命周期， 以減少規避安全風險。 PAGE 12云計算開源產業聯盟研發運營安全白皮書洞，具體而言， 該項目強調軟件代碼開發過程中，安全性分析以及脆弱性識別，從而在開發過程的早

29、期發現并消除漏洞、缺陷。前計劃， 與研發安全密切相關。網絡安全法案強調制定和更新聯盟級別的網絡和信息系統安全策略， 對于安全事件聯合處理， 內部成員國共享安全信息、技術解決辦法， 提升事件處置的效率。運營安全聯邦網絡安全研發戰略計劃提出的四項能力中，探測和響應與安全運營密切相關，具體內容包括實時監測系統安全，及時檢測甚至預測安全威脅， 動態評估安全風險，對于安全威脅進行聯動、自適應處理。國家網絡安 全 戰 略2016-2021 中明確提出要提升防御能力， 提高政府和公共部門抵御網絡攻擊的彈性， 定期評估關鍵系統的 安 全 漏洞， 業界與國家網絡安全 中 心（NCSC）共享網絡威脅最新情報， 進

30、行主動防御等具體舉措。國家網絡安全戰略中提出， 創建安全威脅早期預警、漏洞管理和應對安全威脅的機制； 建立國家級的系統、流程、結構和機制， 對現有和潛在網絡安全威脅進行必要情境推測等具體措施。表 3 重點國家及區域性國際組織研發運營安全相關舉措（三）國際標準組織及第三方非盈利組織積極推進研發運營安全共識ISO27304 關注建立安全軟件程序流程和框架。ISO27034 是國際標準化組織通過的第一個關注建立安全軟件程序流程和框架的標準， 提供了面向企業落地應用安全生命周期的指導框架，其本質目的是指導企業如何通過標準化的方式把安全融合進入軟件生命周期。ISO27034 由七個部分組成，除了第四部分

31、外已全部發布。SAFECode 專注于應用安全。SAFECode 成立于 2007 年 10 月，在過去 10 余年中，其發布的指南已被用于為許多重要行業和政府提供信息，以解決軟件安全問題。SAFECode 組織認為盡管存在差異，但業界公認的通用安全開發實踐已被證明既實用又有效；在軟件保證流程和實踐中提供更高的透明度有助于客戶和其他關鍵利益相關者有效地管理風險。2018 年 3 月SAFECode 發布第三版安全軟件開發基本實踐，并在之后持續更新。安全軟件開發基本實踐說明保證軟件安全的具體開發和實施細則，以確保軟件按預期運營并且沒有設計缺陷和實現缺陷，具體內容包括安全設計原則、威脅建模、安全編

32、碼實踐、測試和驗證、脆弱性及安全事件響應等。OWASP（Open Web Application Security Project，即開放 Web 應用程序安全項目）關注軟件安全，致力于改善軟件的安全性，推動全球軟件安全的革新與發展。OWASP 是一個非盈利組織，于 2004 年 4 月 21 日在美國成立。OWASP 提供有關計算機和互聯網應用程序的公正、實際、有成本效益的信息，協助個人、企業和機構來發現和使用可信賴軟件。其發布的 OWASP Top 10 代表了對Web 應用程序最嚴重的 10 大安全風險，已經成為業界共識，是企業制定代碼安全策略的重要參考文件，也是進行安全編碼的有效一步。

33、ISO27034SAFECodeOWASP關注對象建立安全軟件程序流程和框架應用安全軟件安全，改善軟件的安全性具體內容ISO27034 由七個部分組成，是國際標準化組織通過的第一個關注建立安全軟件程序流程和框架的標準，提供了面向企業落地應用安全生命周期的指導框架，其本質目的是指導企業如何通過標準化的方式把安全融合進入軟件生命周期。SAFECode 發布的指南已被用于為許多重要行業和 政 府 提 供 信息，以解決軟件安全問題；其發布的安全軟件開發基本實踐說明保證軟件安全的具體開發和實施細則， 以確保軟件按預期運營并且沒有設計缺陷和實現缺陷，具體內容包括安全設計原則、威脅建模、安全編碼實踐、測試和

34、驗證、脆弱性及安全事件響應等。OWASP 提供有關計算機和互聯網應用程序的公正、實際、有成本效益的信息，協助個人、企業和機構來發現和使用可信賴軟件其 發 布 的OWASP Top 10 代表了對 Web 應用程序最嚴重的10 大安全風險， 已經成為業界共識，是企業制定代碼安全策略的重要參考文件， 也是進行安全編碼的有效一步。表 4 國際標準組織及第三方非盈利組織研發運營安全相關工作（四）企業積極探索研發運營安全實踐微軟持續改進安全開發生命周期（SDL，即 Security Development Lifecycle，以下簡稱 SDL）流程措施，推行研發運營安全實踐。自2004 年以來，SDL

35、作為微軟一項強制性政策，在將安全性融入企業文化與軟件開發實踐中發揮了重大作用，在推出之后，對于其內容也在不斷進行更新改進，目前具體舉措包括 1）管理制度，提供安全培訓， 增強安全意識，確保人員了解安全基礎知識；2）安全要求，定義安全隱私要求與安全門限要求，包括法律和行業要求，內部標準和編碼 PAGE 15慣例，對先前事件的審查以及已知威脅等，安全門限要求指安全質量的最低可接受級別，明確定義安全漏洞的嚴重性閾值；3）安全隱私需求分析與設計，具體措施包括執行威脅建模，建立設計要求，明確加密標準；4）管理使用第三方組件的安全風險，擁有準確的第三方組件清單，并了解其安全漏洞可能對集成它們的系統的安全性

36、產生影響；5）安全研發與驗證，具體舉措包括使用經過安全性檢查，認可的工具，執行靜態應用程序與動態應用程序安全性測試，進行滲透測試；6）發布部署階段，建立標準的事件響應流程，7）針對運營安全， 通過人員權限認證，數據加密存儲、傳輸，安全監控，定期更新安全策略，抵御常見網絡攻擊，執行滲透測試等手段保證上線運營階段的安全。借鑒行業領先實踐、技術，思科推行企業安全開發生命周期，減少產品安全風險。如下圖 4 所示，具體措施涵蓋，1）明確安全要求， 包括思科內部安全基線要求與基于行業、場景的市場安全要求；2） 第三方安全，利用工具了解潛在的第三方軟件安全威脅，不斷更新已知第三方軟件威脅和漏洞列表，對于產品

37、團隊進行告警；3）安全需求分析與設計，內部安全培訓計劃鼓勵所有員工提高安全意識，同時鼓勵開發和測試團隊深入學習安全知識，通過持續不斷地發展威脅意識，并利用行業標準原則和高度安全的經過審查的解決方案，努力開發出設計上更加安全的產品；通過威脅建模了解和確定系統的安全風險并確定優先級；4）安全編碼與驗證，建立內部的安全編碼標準， 維護經過審核的通用安全模塊，同時通過靜態應用程序安全測試與漏 PAGE 16洞掃描，滲透測試等手段保證安全性；5）發布部署，建立安全發布標準，確保發布部署安全；6）上線運營，通過安全運營操作流程與持續安全監控、更新保證產品上線之后的安全。圖片來源：Cisco圖 4 Cisc

38、o SDL 體系框架圖VMware 建立安全開發生命周期項目，識別和減少 VMware 軟件產品研發階段的安全風險。VMware SDL 的發展受到行業最佳實踐和組織的深遠影響，會定期評估 SDL 在識別風險方面的有效性，并隨著SDL 活動的發展和成熟不斷對于流程進行優化改進，增添新型技術。目前VMware SDL 中的安全活動主要囊括，1）安全培訓，對于人員進行基于角色和技術的安全以及隱私培訓；2）安全規劃，對于隨后的安全審查活動制定基線要求；3）安全要求，涵蓋認證、授權、加密、證書、網絡安全性等內容；4）安全設計，通過威脅建模明確安全風險，改進安全設計；5）安全研發驗證，通過靜態代碼分析與

39、漏洞掃描、滲透測試等手段保證研發驗證階段的安全性；6）開源及第三方 PAGE 17組件安全管理，明確產品中開源及第三方組件中的安全漏洞，在發布前期進行修復；7）安全審查，對于前期所有安全工作進行二次審查； 8）上線運營，由安全響應中心進行持續的安全監控，對于安全風險進行及時響應。具體執行流程如下圖 5 所示。圖片來源：VMware圖 5 VMware SDL 體系框架圖微軟思科VMware軟件應用服務研發運營全生命周期安全管理安全培訓提供安全培訓，增強安全意識，確保人員了解安全基礎知識內部安全培訓計劃鼓勵所有員工提高安全意識，同時鼓勵開發和測試團隊深入學習安全知識對于人員進行基于角色和技術的安

40、全以及隱私培訓安全要求定義安全隱私要求與安全門限要求，包括法律和行業要求，內部標準和編碼慣例，對先前事件的審查以及已知威脅等包括思科內部安全基線要求與基于行業、場景的市場安全要求對于之后的安全審查活動制定基線要求安全要求涵蓋認證、授權、加密、證書、網絡安全性等內容安全隱私需求分析與設計執行威脅建模，建立設計要求，明確加密標準等利用行業標準原則和高度安全的經過審查的解決方案，努力開發出設計上更加安全的產品通過威脅建模了解和確定系統的安全風險并確定優先級通過威脅建模明確安全風險，改進安全設計第三方組件安全管理擁有準確的第三方組件清單，并了解其安全漏洞可能對集成它們的系統的安全性產生影響利用工具了解

41、潛在的第三方軟件安全威脅，不斷更新已知第三方軟件威脅和漏洞列表，對于產品團隊進行告警明確產品中開源及第三方組件中的安全漏洞，在發布前期進行修復安全編碼與驗證使用經過安全性檢查，認可的工具，執行靜態應用程序與動態應用程序安全性測試， 進行滲透測試建立內部的安全編碼標準，維護經過審核的通用安全模塊，同時通過靜態應用程序安全測試與漏洞掃描，滲透測試等手段保證安全性通過靜態代碼分析與漏洞掃描、滲透測試等手段保證研發驗證階段的安全性安全發布部署建立標準的事件響應流程建立安全發布標準，確保發布部署安全對于前期所有安全工作進行二次審查上線運營安全通過人員權限認證，數據加密存儲、傳輸，安全監控，定期更新安全策

42、略，抵御常見網絡攻擊，執行滲透測試等手段保證上線運營階段的安全通過安全運營操作流程與持續安全監控、更新保證產品上線之后的安全由安全響應中心進行持續的安全監控，對于安全風險進行及時響應表 5 企業研發運營安全具體實踐（五）開發模式逐步向敏捷化發展，研發運營安全體系隨之向敏捷化演進研發運營安全相關體系的發展與開發模式的變化是密不可分的， 隨著開發模型由傳統的瀑布式開發演變成敏捷開發再轉變為DevOps， 研發運營安全相關體系也隨著變化，但其核心理念始終是安全前置， 貫穿全生命周期。目前研發運營安全體系中，以微軟提出的安全開發生命周期（SDL）和 Gartner 提出的DevSecOps 體系為典型

43、代表。安全開發生命周期（SDL）的核心理念就是將安全考慮集成在軟件開發的每一個階段:需求分析、設計、編碼、測試和維護。從需求、設計到發布產品的每一個階段每都增加了相應的安全活動，以減少軟件中漏洞的數量并將安全缺陷降低到最小程度。安全開發生命周期(SDL)是側重于軟件開發的安全保證過程，旨在開發出安全的軟件應用。SDL 在傳統軟件開發生命周期(SDLC)的各個階段增加了一些必要的安全活動，軟件開發的不同階段所執行的安全活動也不同，每個活動就算單獨執行也都能對軟件安全起到一定作用。具體內容如下圖 6所示。圖片來源：Microsoft圖 6 微軟 SDL 流程體系隨著對軟件開發質量和效率要求的不斷提

44、高，以 DevOps 為代表的敏捷開發方法得到推崇。在此基礎上，Gartner 公司于 2012 年推出了 DevSecOps 的概念， DevSecOps 即 Development Security Operations 的縮寫，是一套基于 DevOps 體系的全新安全實踐戰略框架，旨在將安全融入敏捷過程中，即通過設計一系列可集成的控制措施，增大監測、跟蹤和分析的力度，優化安全實踐，集成到開發和運營的各項工作中，并將安全能力賦給各個團隊，同時保持“敏捷”和“協作”的初衷。DevOps 的目的決定了其對“自動化”和“持續性”的要求更加突出，因此在將安全控制集成其中時，也應該盡量遵循“自動化”

45、和“透明”的原則。為了將安全無縫集成到 DevOps 中，Gartner 和一些專家從實踐出發提出了一系列建議，主要包括：風險和威脅建模、自定義代碼掃描、開源軟件掃描和追蹤、考慮供應鏈安全問題、整合預防性安全控制到共享源代碼庫和共享服務中、版本控制和安全測試的自動化部署、系統配置漏洞掃描、工作負載和服務的持續監控等。下圖 7為DevSecOps 具體體系框架。圖片來源：Gartner圖 7 DevSecOps 體系框架圖SDLDevSecOps適用對象軟件產品安全開發全生命周期DevOps 體系，周期較短、迭代較快的業務安全責任特定安全團隊研發運營所有參與人員體系特點安全集成在軟件開發的每一個

46、階段，整體提升安全性DevOps 體系中融入安全，安全工具自動化以及平臺化體系重點整體安全管理制度搭配安全人員能力達到軟件產品研發安全DevOps 體系中嵌入自動化安全工具，實現 DevOps 體系的安全表 6 SDL 與 DevSecOps 區別對照三、 研發運營安全關鍵要素本白皮書認為的研發運營安全關鍵要素包含兩方面內容，1）覆蓋軟件應用服務全生命周期的研發運營安全體系，提供理論框架，指導研發運營安全的實踐推進；2）研發運營安全技術工具的持續發展應用，為體系的實踐提供技術支撐，加速企業組織研發運營安全的落地。（一）覆蓋軟件應用服務全生命周期的研發運營安全體系本白皮書提出的研發運營安全體系強

47、調安全左移，結合人員管理體系、制度流程，從需求分析設計、編碼階段便引入安全，覆蓋軟件應用服務全生命周期，整體提升安全性。提出的研發運營安全體系具有四大特點，1）覆蓋范圍更廣，延伸至下線停用階段，覆蓋軟件應用服務全生命周期；2）更具普適性，抽取關鍵要素，不依托于任何開發模式與體系；3）不止強調安全工具，同樣注重安全管理，強化人員安全能力；4）進行運營安全數據反饋，形成安全閉環，不斷優化流程實踐。管理制度管理制度流程是推行研發運營安全的基礎。在研發運營安全體系規劃和建設的過程中，首先是建立組織責任體系，制定完善的研發運營安全管理體系和制度管理規范，明確管理制度和操作流程規范，建立統一的安全基線。并

48、將組織建設和人員制度管理納入到全生命管理周期中，對應的組織負責不同的安全職責與工作，進行安全培訓，建設組織級的安全文化以及對研發人員、測試人員、技術運營人員等進行安全管理，包括第三方機構的人員，實現人人都為安全負責。制度和操作規范包括1）賬號和密碼管理，2）故障流程管理辦法， 3）應急事件分級處理措施，4）人員行為安全規范，5）變更管理制度，6）團隊間安全協作流程和規范等。通過統一的流程管理平臺， 保證各個流程環節能夠被及時響應，各項任務能夠被順利傳遞、銜接。安全培訓針對所有研發、測試、運營人員以及第三方合作人員， 目前是為了提升安全意識，增強研發運營安全能力。培訓內容主要包括 1）安全管理制

49、度，2）安全意識培訓，3）安全開發流程，4）安全編碼規范，5）安全設計，6）安全測試等，并對于培訓結果進行考核， 制定特殊崗位的上崗前考核機制，未通過相關考核的，不得從事向相關崗位的工作。安全要求安全要求明確研發運營安全的基線。安全要求通常包含安全管理和技術安全要求，二者需要有機結合，不可分割。具體內容包括 1） 設立質量安全門限要求，具有項目級、團隊級、組織級的質量安全門限要求，根據業務場景、產品類型、語言類型劃分質量安全門限要求， 智能化收集質量安全門限要求，根據業務場景等進行智能推薦；2） 項目角色以及權限管理，依據最小權限原則，建立資源、行為操作權限管控，采用多因素認證機制保證訪問安全

50、，配置強密碼策略，及時為不需要權限的用戶或用戶組移除權限；3）安全審計，對于包括研發、測試、運營的所有相關人員的所有操作行為進行審計，對于審計記錄進行保護，有效期內避免非授權的訪問、篡改、覆蓋及刪除，對于審計記錄形成報表，方便查詢、統計與分析，針對審計日志進行自動化與人工審計，對于安全事件進行詳細記錄，對于高危操作進行重點審計，進行告警通知，針對行業特點，業務特點進行定制化的安全審計策略，對于審計記錄進行統計分析、關聯分析等；4）環境管理， 研發、測試、生產環境隔離，生產環境具有安全基線要求，保障環境的安全，針對研發、測試環境有明確的權限管控機制，針對各類環境的操作進行詳細記錄，具有可追溯性，

51、定期執行生產環境的安全基線掃描，及時發現和處理安全風險，研發、生產環境具有良好的抗攻擊與災備容錯能力，根據特定行業以及業務場景，對于測試環境接入安全掃描，針對不同的業務場景以及架構，對于發布環境進行分類管理， 安全加固，生產環境具安全風險自動發現、分析和修復以及秒級容災容錯切換能力；5）變更管理，有明確的進行變更條件與變更執行機制，有明確的變更授權機制，對于變更請求進行統一分析、整理，確定變更方案；6）開源及第三方組件管理，具有組織級的第三方組件庫，明確優選、可用、禁用的第三方組件列表，統一組件來源，具有明確的第三方組件入庫審批機制，第三方組件的引入應遵循最小化引入原則，減少安全風險，開源及第

52、三方組件與自研代碼獨立存放、目錄隔離，開源及第三方組件來源可追溯，開源組件追溯源社區，第三方組件信息追溯到供應商，對開源軟件的生命周期進行管理，記錄開源軟件的生命周期信息，通過自動化工具及時向使用產品進行通知預警；7）安全研發測試要求，具有組織級、團隊級、項目級的安全編碼規范、安全測試規范。安全隱私需求分析與設計安全前置到需求分析與設計階段。安全隱私需求分析與設計是服務應用研發運營整個生命周期的源頭。具體內容包括：1）安全隱私需求分析，應包括安全合規需求以及安全功能需求，針對安全合規需求，應分析涉及的法律法規、行業監管等要求，制定合規和安全需求基線，針對安全功能需求應根據業務場景、技術，具備相

53、應的測試用例，安全隱私需求來自法律法規、行業監管要求、公司安全策略、業界最佳實踐以及客戶安全需求，具有明確的安全需求管理流程，能夠對安全需求的分析、評審、決策等環節進行有效管理，需求分解分配可追溯；2）安全設計原則，3）確定質量安全門限要求，4）受攻擊面分析，分析應從系統各個模塊的重要程度、系統各個模塊接口分析、攻擊者視角分析攻擊手段、方式、攻擊路徑、權限設置是否合理、攻擊難度等維度進行分析；5）威脅建模，具體行為包括確定安全目標、分解應用程序、確定威脅列表；6）安全隱私需求設計知識庫，具有組織級安全需求知識分享平臺，形成知識的復用，根據安全需求，得出安全設計解決方案。研發與驗證研發驗證是安全

54、前置實踐的關鍵所在，研發階段安全是整體安全左移實現關鍵，關注代碼程序安全，驗證階段進行安全二次確認，避免風險引入。為了確保上線服務應用沒有安全風險，需要在研發及測試過程中要進行全面的代碼安全識別，具體內容包括：1）安全編碼， 維護獲得安全認可的工具、框架列表，使用獲得認可的工具、框架，具有統一的版本控制系統，將全部源代碼納入版本控制系統管理，版本控制系統具有明確的權限管控機制，代碼倉庫具有實時代碼安全掃 描機制，發現安全問題并提示修復，根據安全編碼規范制定自定義安 全策略，進行自動化安全掃描，采用集成于 IDE 或其他形式提供的自動化測試工具定時進行代碼安全檢測，針對版本控制系統有監控機制，

55、包括人員、時間、行為操作等，方便審計回溯，制定代碼合入門禁機 制，確保代碼合入質量，代碼倉庫支持線上代碼動態掃描，發現安全 問題并提示修復；2）管理開源及第三方組件安全風險，對于第三方 組件根據風險級別，有明確的優選、可用、禁用機制，代碼提交前采 用掃描工具進行第三方組件安全檢查，管理項目中的第三方組件許可 證以及安全漏洞等風險，針對第三方組件安全風險，推薦安全解決方 案；3）變更管理，對于變更操作進行統一管理，明確記錄變更信息， 包括但不限于變更人員、變更時間、變更內容，針對重點變更內容進 行評審，變更操作具有明確的審批授權機制，重大變更操作具有分級 評審機制，具有統一的變更管理系統，變更操

56、作覆蓋需求設計到發布 部署全流程；4）代碼安全審查，制定明確的源代碼安全檢視方法， 開展源代碼安全審計活動，采用工具與人工核驗相結合的方式進行代 碼安全審計，對于威脅代碼及時通知研發人員進行修復，對高風險源 代碼有分級審核機制，對于審計發現的威脅代碼自動通知研發人員， 進行修復，根據行業特點、業務場景定制化開發代碼安全審查工具， 制定安全審查策略；5）開源及第三方組件確認，采用工具與人工核 驗的方式確認第三方組件的安全性、一致性，根據許可證信息、安全 漏洞等綜合考慮法律、安全風險；6）配置審計，具有明確的配置審計機制，配置審計包括但不限于配置項是否完備、配置項與前期安全需求的一致性、配置項版本

57、的描述精確，與相關版本一致制，配置項的每次變更有記錄，可以追溯到具體修改時間和修改人，產品依賴的自研模塊、平臺組件、開源源碼、開源二進制、第三方軟件被準確的定義和記錄，對于明確統一的合規需求以及安全需求，進行自動化配置審計；7）安全隱私測試，具有明確的安全隱私測試要求，作為發布部署的前置條件，測試數據不包含未經清洗的敏感數據，基于安全隱私需求，有相應的安全隱私測試用例，并進行驗證測試，單個測試用例的執行不受其他測試用例結果的影響，測試數據、用例應統一管理，有明確的權限管控機制，測試用例、測試數據應定期更新，滿足不同階段、環境的測試要求，具備自動化安全測試能力，對于測試結果有集中匯總與展示的能力

58、，持續優化安全測試策略，持續降低誤報率與漏報率，測試過程有記錄可查詢，測試設計、執行端到端可追溯， 基于不同業務場景以及系統架構，進行安全測試智能化推薦與測試策略智能優化；8）漏洞掃描，采用主流的安全工具進行漏洞掃描，漏洞掃描結果有統一管理與展示平臺，漏洞掃描的結果及時反饋研發人員，進行漏洞修復，具有自身以及第三方漏洞庫，對于漏洞庫定期更新，基于漏洞信息進行關聯與聚合分析；9）模糊測試，采用主流的模糊測試工具，自動化進行模糊測試，模糊測試的結果及時反饋研發人員，進行修復，持續改進模糊測試策略；10）滲透測試，引入人工滲透測試機制，針對系統架構、應用程序、網絡層面漏洞進行滲透測試，根據行業特點與

59、業務場景實施滲透測試，范圍應覆蓋重要安全風險點與重要業務系統，有明確的滲透測試計劃與管理機制。發布部署安全發布部署是服務應用上線前的最后一道安全保障，發布階段確保服務安全上線運營，具體內容包括：1）發布管理，有相應的發布安全流程與規范，發布操作具有明確的權限管控機制，發布應具有明確的安全檢查節點，根據安全節點檢查結果，有相關告警機制，針對發布流程具有安全回退、備份機制，制定發布策略，通過低風險的發布策略進行發布，如灰度發布或者藍綠發布等方式，發布流程實現自動化，一鍵發布，根據安全節點檢查結果，發現高危安全問題，自動阻斷發布流程，對于發布流程具有監控機制，出現問題自動化回滾， 建立稽核機制，發布

60、前需要通過稽核部門的獨立檢查；2）安全性檢查，進行病毒掃描以及數字簽名驗證等完整性校驗，校驗結果作為發布的前置條件；3）事件響應計劃，具有預先的事件響應計劃，包括但不限于安全事件應急響應流程，安全負責人與聯系方式。上線運營運營階段安全保障服務系統的穩定運行。為確保服務應用上線運營安全，具體措施內容包括：1）安全監控，具有運營階段安全監控機制，覆蓋全部業務場景，抵御常見威脅攻擊的能力，如 DDoS 攻擊， 暴力破解，病毒攻擊，注入攻擊，網頁篡改，具有統一的安全監控平臺，對于威脅攻擊處理能夠統一監控并可視化展示，對于監控安全事件進行分級展示，具有智能化安全監控平臺，對于監控事件統一關聯分析，智能識