freebuf DevSecOps行业洞察报告

2020 m o c . 5 DevSecOps b u h t 行业洞察报告 i g 03 法律声明此报告为悬镜安全与 Freebuf 咨询联合制作，报告中的文字、图片、表格等版权均为悬镜安全与 Freebuf 咨询共同所有。任何组织、个人未经悬镜安全及 Freebuf 咨询授权，不得转载、更改或者以任何方式传送、复印、派发该报告内容，违者将依法追究法律责任。转载或引用本报告内容，不得进行如下活动：不得擅自同意他人转载、引用本报告内容。不得引用本报告进行商业活动或商业炒作。本报告中的信息及观点仅供参考，悬镜安全及 Freebuf 咨询对本报告拥有最终解释权。 h t i g b u m o c . 5 m o c . 5 关于悬镜悬镜安全，DevSecOps敏捷安全领导者，由北京大学网络安全技术研究团队 “XMIRROR”主导创立，专注于以AI人工智能技术为核心的DevSecOps软件供应链持续威胁一体化检测防御。 b u 悬镜首创基于AI情景感知的DevSecOps持续威胁管理技术，从源头追踪软件供应链在开发、测试、部署、运营等关键环节面临的应用安全风险与未知外部 h t i g 威胁，帮助政企组织逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生安全开发运营体系”。关于FreeBuf咨询 FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析，分享国内外安全资源与行业洞见，是网络安全从业者与爱好者广泛关注的行业社区平台。 FreeBuf咨询集结安全行业经验丰富的安全专家和分析师，常年对信息安全技术、行业动态保持追踪，洞悉安全行业现状和趋势，呈现最专业的研究与咨询服务。参编人员出品人：子芽、尤文、董毅编辑：李雅、刘一赫、栗子、武文婧设计：王金花、赵青青、王璐导语 INTRODUCTION 今年的 RSA Conference 于 2 月 24-28 日在美国旧金山如期召开，会议主题为“Human Element”，人为因素被认为是影响未来网络安全发展最深远的主题。会议期间，官方还基于参会人员的关注热度，发布了 2020 年网络安全行业十大趋势，DevSecOps 再次成为大家关注的焦点之一。其中，有着“全球网络安全风向标”之称的 RSA 创新沙盒，进入十强的安全厂商中近半数聚焦在应用安全领域，BluBracket 和 ForAllSecure 等就是今年 DevSecOps 领域的创新厂商代表， m o c . 5 Comcast、US DoD 及 NIWC 等机构的 DevSecOps 落地应用也逐渐成为行业实践典范。虽然国内的金融、能源、互联网等产业用户没有像美国一些头部机构那样做 DevSecOps 的深度转型，大部分还是现有的 SDL 体系，但这并不妨碍我们开始积极拥抱 DevSecOps 框架及 CI/CD 黄金管道涉及的敏捷安全活动。正是这些关键活动涉及的新兴技术的逐渐成熟和敏捷安全新理念 b u 的普及，推动了国内 DevSecOps 体系的逐渐落地，关键标志之一就是持续专注 DevSecOps 的创新安全厂商开始涌现，我们的通用技术方案开始被越来越多的行业头部用户采纳，并分阶段持续为行业用户建立起逐渐完善的安全开发运营体系。 h t i g 本报告是悬镜安全联合 Freebuf 咨询在国内发布的首个 DevSecOps 行业调查报告，希望从行业用户、厂商力量及安全媒体等综合视角观察并分析 DevSecOps 在国内的发展现状。报告上篇对 DevSecOps 实践情况进行了一定调查，通过问卷调查、资料收集、交流访谈及技术沙龙等形式开展相关调查工作，对千余名不同 IT 背景的专业人员进行了调研，通过他们的声音和真实反馈，表明了 DevSecOps 正逐渐被应用开发团队认可并加速实践，部分领先机构的应用安全工作在软件开发生命周期的早期就已经实现高度自动化。报告下篇描绘了不同行业的 DevSecOps 实践现状，梳理了当前发展热点技术，并对未来发展趋势做了展望。这部分内容主要依赖于同行业专家的沟通与座谈，并融合了我们在行业中观察到的具体现象、发展趋势和应用案例。拥抱变化是敏捷安全建设的基石。我们希望通过本报告的调查及分析，能够推动更多行业用户结合自身业务特点，尝试了解、对比学习甚至着手采纳业内领先的 DevSecOps 敏捷安全体系及落地实践经验，从源头追踪软件供应链在开发、测试、部署、运营等关键环节面临的应用安全风险与未知外部威胁，帮助政企组织逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的内生安全开发运营体系。同时，也希望本报告能够鼓励更多不同类型的技术力量与 DevSecOps 行业展开新的对话，并成为建立新的安全基准的参考依据。出品人子芽 2020 年 12 月目录 1. DevSecOps行业调查 1.1 调研对象及行业领域 02 m o c . 5 1.2 DevOps/DevSecOps成熟度 1.3 企业软件应用安全现状 1.4 研发流程与安全现状 1.5 容器、开源组件、云服务 b u 1.6 维护软件应用存在的挑战 h t i g 2. DevSecOps 调查后记 03 1. DevSecOps发展现状 08 15 21 25 29 31 34 1.1 DevSecOps现有体系 36 1.3 不同行业的DevSecOps现状 48 1.2 DevSecOps安全工具金字塔 1.4 非安全工具的DevSecOps融合现状 2. DevSecOps年度热点 2.1 2020年度热点技术 2.2 2020年十大热点新闻事件 3. 发展趋势 3.1 2021年DevSecOps实践趋势预测 40 55 58 59 61 66 67 调查篇 m o c . 5 h t i g b u 调查篇通过问卷调查、资料收集、交流访谈等形式开展相关调研工作，共收到 1571 条有效调研数据，旨在了解 DevSecOps 实践者和潜在实践者的想法、做法以及遇到的问题。 DevSecOps行业调查 1 h t i g b u m o c . 5 1.1 调研对象及行业领域您所担任的岗位类型？开发人员 50% IT运维人员 16% 测试人员 m o c . 5 12% 管理者 10% 安全工程师其他 UI/UE h t i g b u 7% 3% 2% 受调者职位：本次调查受调人员共 1571 名，其中占比最大的是开发人员，占总人数的 50%，IT 运维人员占 16%，测试人员占 12%，管理者占 10%，除此之外，其他受调者占比均低于 10%，分别是安全工程师占 7%， UI/UE 占 3%，其他受调者仅占总人数的 2%。DevSecOps 对于开发、测试及运维人员的关系更为密切。 03 您所在单位中的角色是？ 82% 14% 3% 1% 普通员工中层管理者高层管理者自由职业者受调者角色：在受调者中普通员工最多占比 82%, 中层管理者占比 14%，而高层管理者占比 3%，自由职业者占比 1%。在实际工作中，普通 IT 员工和中层管理者与 DevSecOps 实践的联系更为紧密。 m o c . 5 您单位的开发人员数量？ 40% b u 36% 30% 22% 20% g 10% 2% 0 0 1-10 ti h 11-30 14% 15% 31-100 101-1000 11% 1000以上受调者所在组织的开发人员：在所有受调者中，仅有 11% 的受调者所在的组织的开发人员人数大于 1000 名，所在组织开发人员多于 100 名且不超过 1000 名的受调者占比为 15%，所在组织规模开发人员少于 100 名的受调者占 74%，其中组织开发人员规模在 11 到 30 人的受调者最多，占比为 36%。 04 您单位所处的行业是？通信其他 5% 军工教育 1% 媒体 1% 2% 70% 能源 m o c . 5 1% 12% 零售工业互联网/软件 5% 金融服务 1% 4% 政府和事业单位 1% b u 受调者所处行业：在所有受调者中，来自互联网 / 软件的受调者占 70%，来自金融行业的受调者占 12%，此 h t i g 两行业受调者总计占比为 82%。在其余 18% 的受调者中，教育行业和通信行业各占 5%。 05 小结组织对于安全工作的重视程度因行业而异，尤其是互联网与金融行业重视用户体验与网络、数据安全，整体IT建设的标准较高，因此本次调查问卷触达的相关行业人员数量最多。作为DevSecOps安全保障工作的实际执行者，开发、运维及测试人员对项目开发中的安全痛 m o c . 5 点和需求的认识更为深刻，本次调查也更多地触达了以上人群。 h t i g b u 大家说：贴合实际，全流程多维度安全检查介入，避免后期安全问题积累，提前获取已知问题得到 m o c . 5 最佳修复时间。 b u GuoZhiPing 软件/互联网上海市浦东新区 h t i g 1.2 DevOps/DevSecOps 成熟度报告术语界定 DevOps（研发运营一体化）：是 Development 和 Operations 的组合词，它是一组过程、方法与系统的统称。研发运营一体化是指在 IT 软件及相关服务的研发及交付过程中，将应用的需求、开发、测试、部署和运营统一起来，基于整个组织的协作和应用架构的优化，实现敏捷开发、持续交付和应用运营的无缝集成。帮助组织提升 IT 效能，在保证稳定的同时，快速交付高质量的软件及服务，灵活应对快速变化的业务需求和市场环境。 DevSecOps（研发安全运营一体化）: 是 Development 、 Security 和 Operations 的组合词，DevSecOps 主要是针对以 B/S 架构为主的软件应用系统，其核心思想是凭借静态应用安全测试（SAST）、动态应用安全测试 m o c . 5 （DAST）、交互式应用安全测试（IAST）等多种形式的检测手段，在软件开发周期内编码、集成、测试等任一阶段，对软件进行代码层面和应用层面的安全性检测，从而在发布软件前尽可能找到