联通 DevSecOps实践白皮书 2021

b u m o c . 5 CU-DevSecOps 实践白皮书 h t i g 中国联合网络通信有限公司研究院 2021 年 9 月 CU-DevSecOps 实践白皮书前言万物互联的数字智能世界，推动着全球数字经济的高速发展。随着云原生应用、大数据应用、产业互联网以及物联网智能应用软件的不断发展，传统的软件开发流程已不能适应快速变化的业务和迭代需要，于是敏捷开发流程应运而生。敏捷开发通过增量和迭代式的开发模式，可以大大缩短软件的交付周期并能进行持续改进，从 m o c . 5 而能够很好地响应快速的需求更改以及外部环境变化。近年来敏捷开发的广泛应用和云计算技术的快速发展，促进着开发和运维的同步优化，并进一步形成了 DevOps，即开发运维一体化。DevOps 极大 b u 的提升了软件的交付速度，但快速的软件交付能力给软件安全性及 h t i g 可靠性带来了极大挑战，因此，为了弥补 DevOps 流程中安全保护行为缺失的问题，需要在 DevOps 中融合便捷有效的安全行为，完善 DevOps，构建 DevSecOps。《CU-DevSecOps 实践白皮书》除介绍 DevOps 面临的安全挑战以及 DevSecOps 的价值意义、发展现状和支撑体系之外，还结合 DevSecOps 落地过程中面临的挑战，给出了 DevSecOps 的实践指南。该实践指南将 DevSecOps 的可执行实践分为安全文化建设阶段、安全防护左移阶段、安全工具链构建阶段和安全运营阶段，并对不同阶段安全活动和安全措施及方法进行了重点介绍和剖析，最后对 DevSecOps 的未来发展趋势进行了展望。 1 CU-DevSecOps 实践白皮书参与编写单位中国联合网络通信有限公司研究院；中国联合网络通信有限公司广东省分公司；深圳开源互联网安全技术有限公司；绿盟科技集团股份有限公司；杭州孝道科技有限公司；北京中科天齐信息技术有限公司；苏州棱镜七彩信息科技有限公司；北京小佑科技有限公司；北京安普诺信息技术有限公司。 m o c . 5 主要撰稿人徐雷刘军张小梅徐锋郭新海但吉兵刘斌董毅刘一赫黎宇薛强贺文轩严雪伦高琳蓝鑫冲丁攀刘安苏俐竹袁曙光 b u h t i g 2 郑明 CU-DevSecOps 实践白皮书目录一、 DevSecOps 概述 ....................................................................................................................... 4 1.1 DevOps 面临的挑战 ............................................................................................................ 4 1.2 DevSecOps 的价值意义 ..................................................................................................... 5 1.3 DevSecOps 发展现状 ......................................................................................................... 6 1.4 DevSecOps 支撑体系 ......................................................................................................... 7 二、 DevSecOps 落地挑战 ............................................................................................................... 9 m o c . 5 2.1 组织维度的挑战 .................................................................................................................. 10 2.2 流程维度的挑战 .................................................................................................................. 11 2.3 技术维度的挑战 .................................................................................................................. 12 b u 2.4 治理维度的挑战 .................................................................................................................. 13 h t i g 三、DevSecOps 实践....................................................................................................................... 14 3.1 安全文化建设....................................................................................................................... 14 3.2 安全防护左移....................................................................................................................... 15 3.3 安全工具链构建 .................................................................................................................. 16 3.4 安全运营实践....................................................................................................................... 26 四、DevSecOps 未来发展趋势 ...................................................................................................... 30 4.1 IAST/RASP 迎来高增长 .................................................................................................... 30 4.2 开源治理成为新的热点 ...................................................................................................... 30 4.3 漏洞与攻击建模愈发广泛 .................................................................................................. 31 4.4 安全自动化运营成为趋势 .................................................................................................. 31 3 CU-DevSecOps 实践白皮书一、 DevSecOps 概述 1.1 DevOps 面临的挑战在当前云网融合和数字化转型的大力推进下，作为云原生技术不可或缺的持续交付、DevOps、微服务和容器技术正在被广泛使用。 DevOps 经过多年的发展，因其能够很好的处理软件研发和运维过程中的易变性、不确定性、复杂性和模糊性问题，逐渐成为了当今软 m o c . 5 件研发流程的首选技术。中国信息通信研究院发布的《中国 DevOps 现状调查报告（2021 年）》中指出，在中国目前已有超过 80%的企业在不同程度上实践敏捷开发，DevOps 的受欢迎程度可见一斑。 b u DevOps 是为提升软件的研发和运维效率而诞生的，其初衷就是满 h t i g 足软件系统的快速交付和持续迭代。DevOps 的主要特点包括：追求敏捷、快速迭代，但忽视安全检查。倡导研发与运维之间的协作，却没有要求安全部门参与到双环流程。由于 DevOps 的这些特点，导致了许多安全问题的相继出现，如快速迭代过程中，第三方组件的大量引入，会将组件中存在的漏洞、和不合规的许可声明引入到软件系统中，成为潜在风险；DevOps 实践中容器技术和微服务架构的使用，也会不可避免地引入安全风险，例如容器逃逸漏洞和 API 接口爆炸式增长等。面对这些问题，需要从安全的角度出发，进一步完善 DevOps，以满足新时代、新技术和新趋势下的软件系统的开发、运维和应用。 4 CU-DevSecOps 实践白皮书 1.2 DevSecOps 的价值意义基于对安全的需求，在 DevOps 的基础上，DevSecOps 理念被提出。相对于 DevOps 而言，DevSecOps 增加了安全要求，可以帮助企业在软件研发阶段便关注信息安全，从而解决大部分安全隐患。但 DevSecOps 并非简单地增加安全要求。通常来说，效率与安全是存在冲突的，重视安全便可