12月18日,由貝殼找房主辦的ICS安全技術(shù)峰會(huì)在北京海航萬(wàn)豪酒店召開(kāi),本次會(huì)議圍繞“產(chǎn)業(yè)互聯(lián)、安全破局”的主題,匯聚騰訊、京東、貝殼找房、小米、字節(jié)跳動(dòng)、長(zhǎng)亭科技等各產(chǎn)業(yè)互聯(lián)網(wǎng)領(lǐng)域頭部企業(yè)的安全負(fù)責(zé)人和安全專家,共同就產(chǎn)業(yè)互聯(lián)網(wǎng)融合下的安全趨勢(shì)、安全新挑戰(zhàn)進(jìn)行剖析。京東集團(tuán)信息安全部基礎(chǔ)安全架構(gòu)師李寶發(fā)表了有關(guān)DevSecOps創(chuàng)新實(shí)踐的演講。
最初,京東安全采用很多企業(yè)廣泛使用的SDL(安全開(kāi)發(fā)全生命周期)技術(shù)框架進(jìn)行安全管控,在軟件開(kāi)發(fā)流程的各個(gè)階段引入安全和隱私問(wèn)題,安全人員從應(yīng)用的需求分析開(kāi)始,就全流程地參與到整個(gè)應(yīng)用的開(kāi)發(fā)當(dāng)中,前置性地利用安全技術(shù),幫助開(kāi)發(fā)者去保證應(yīng)用的安全與合規(guī)。通過(guò)實(shí)施SDL,京東的安全建設(shè)取得了不錯(cuò)的成效,大大降低了上線應(yīng)用的安全風(fēng)險(xiǎn)和漏洞數(shù)量。
不過(guò),隨著業(yè)務(wù)的發(fā)展速度加快、業(yè)務(wù)變化和復(fù)雜度不斷攀升,問(wèn)題逐漸顯現(xiàn)。首先,隨著產(chǎn)業(yè)互聯(lián)網(wǎng)融合加深,企業(yè)數(shù)字化轉(zhuǎn)型加速,在敏捷開(kāi)發(fā)的加持下,企業(yè)的應(yīng)用數(shù)量激增,以京東為例,目前自研的業(yè)務(wù)應(yīng)用數(shù)量在短短幾年間就告訴增長(zhǎng)了十幾倍,逐個(gè)應(yīng)用去投入安全人員參與全流程開(kāi)發(fā),人力、成本都難以支撐,效率也會(huì)大打折扣。其次,云化、容器化、AIoT等技術(shù)的發(fā)展,產(chǎn)生了很多新型安全問(wèn)題,由此產(chǎn)生的新型攻擊也是層出不窮,安全人員很難在突發(fā)應(yīng)急響應(yīng)的過(guò)程中,第一時(shí)間就覆蓋所有業(yè)務(wù)和應(yīng)用。
在京東,安全緊隨業(yè)務(wù)發(fā)展,變革之路勢(shì)在必行。
如何改變?李寶指出,一方面,從技術(shù)上,需要一套新的、能夠自動(dòng)化發(fā)現(xiàn)安全問(wèn)題的技術(shù)框架,不僅需要從開(kāi)發(fā)端最大程度地減少問(wèn)題,也要能夠在應(yīng)用上線后出現(xiàn)漏洞時(shí),能夠快速敏捷地解決問(wèn)題;另一方面,為了避免忙于“救火”和“打地鼠”,李寶提到,“安全問(wèn)題并不是安全團(tuán)隊(duì)可以獨(dú)立解決的事情,需要開(kāi)發(fā)者和運(yùn)營(yíng)者能夠熟練操作這套自動(dòng)化的技術(shù)框架,安全人員則扮演賦能者和指導(dǎo)者的角色。”
李寶提到的這個(gè)技術(shù)框架,就是DevSecOps。京東集團(tuán)正在落地實(shí)踐這套體系。
關(guān)于DevSecOps自動(dòng)化和閉環(huán)完整性的優(yōu)勢(shì)自不必說(shuō)。在會(huì)上,李寶介紹了京東在DevSecOps框架中的創(chuàng)新與最佳實(shí)踐。
以前置代碼安全為例,很多企業(yè)的開(kāi)發(fā)人員在編寫代碼時(shí)沒(méi)有考慮到安全因素,最終在CI/CD(持續(xù)集成/持續(xù)交付)的過(guò)程中發(fā)現(xiàn)了問(wèn)題,為此要付出高昂的修正成本。為了解決這個(gè)問(wèn)題,京東安全主要從兩方面入手:
一方面,京東安全制定了一整套嚴(yán)謹(jǐn)?shù)木幋a標(biāo)準(zhǔn),從源頭上去提升研發(fā)人員的代碼質(zhì)量;
另一方面,“只要有人工操作就難免有失誤”,為了最大限度地減少漏洞數(shù)量,京東安全還采用前置代碼的方式去自動(dòng)化地排查安全隱患,比如在開(kāi)發(fā)人員的IDE環(huán)境當(dāng)中置入代碼安全引擎,這套引擎有自動(dòng)觸發(fā)、檢測(cè)及時(shí)、使用簡(jiǎn)單、定位準(zhǔn)確、更新方便等諸多優(yōu)點(diǎn),能夠在開(kāi)發(fā)人員寫代碼過(guò)程中,自動(dòng)化、友好地提醒他們存在的安全隱患。
除此之外,“授人以魚不如授人以漁”,它還能針對(duì)性的給出代碼修改建議。長(zhǎng)此以往,則會(huì)帶動(dòng)開(kāi)發(fā)人員編碼質(zhì)量和安全意識(shí)、安全水平的整體提升。
目前,很多公司均在應(yīng)用在DAST(動(dòng)態(tài)應(yīng)用程序安全測(cè)試)技術(shù),與其不同的是,京東安全通過(guò)業(yè)務(wù)流重放的模式,模擬黑客行為覆蓋到業(yè)務(wù)的全流程,以確保最大程度地發(fā)現(xiàn)潛在風(fēng)險(xiǎn)。
除了編碼階段的前置代碼安全和測(cè)試階段的DAST實(shí)踐,李寶還在會(huì)上介紹了京東安全在發(fā)布階段的構(gòu)建可信應(yīng)用,以及應(yīng)用上線后的漏洞熱修復(fù)方面的創(chuàng)新與實(shí)踐,覆蓋了整個(gè)DevSecOps閉環(huán)的各個(gè)階段。
憑借DevSecOps的落地和創(chuàng)新利用,通過(guò)一系列安全框架最佳實(shí)踐落地措施,集團(tuán)各個(gè)業(yè)務(wù)線研發(fā)人員的安全意識(shí)、安全水平明顯明顯提提升,安全建設(shè)成效顯著——盡快集團(tuán)的應(yīng)用數(shù)量大幅上升到兩百萬(wàn)的量級(jí),但是應(yīng)用上線前的漏洞數(shù)量總量卻比之前下降了百分之六十之多。
達(dá)則兼濟(jì)天下。
在前不久的京麒網(wǎng)絡(luò)安全大會(huì)上,京東安全發(fā)布了全新的企業(yè)安全操作系統(tǒng),此系統(tǒng)是在京東安全多年建設(shè)經(jīng)驗(yàn)和技術(shù)的基礎(chǔ)上,對(duì)于其中精華技術(shù)和創(chuàng)新實(shí)踐的方法論沉淀。在不久的將來(lái),京東安全希望能夠通過(guò)這套系統(tǒng),將京東的甲方最佳安全實(shí)踐和創(chuàng)新技術(shù),以生態(tài)連接的方式,賦能給行業(yè),幫助更多企業(yè)構(gòu)建安全、高效、低成本的業(yè)務(wù)環(huán)境。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )