GoUpSec：2023开发安全产品及服务购买决策参考（143页）.pdf

1、目录前言.1安普诺.10安全共识.36安御道合.44梆梆安全.52国舜股份.58海云安.63开源网安.81酷德啄木鸟.86墨菲安全.93默安科技.107四叶草安全.119孝道科技.122星阑科技.128云起无垠.1321前言“敏捷企业”重新定义开发安全随着企业数字化转型进入深水区，开发安全体系与能力建设（例如 DevSecOps、SDL、ASPM）已成为事关企业发展甚至生存的最高优先级事项之一。离开安全谈敏捷，正如离开敏捷谈开发，在当下和未来的颠覆性技术革命中将面临巨大的战略性风险。当前人工智能技术的突飞猛进，软件开发正在向低代码甚至无代码时代快速迈进，安全控制自动化程度不断提升；与此同时，企

2、业不再满足于开发和运营部门内部的敏捷开发（DevOps），希望打造业务驱动的一体化开发运营平台，实现“敏捷企业”，兑现敏捷的商业价值，这些趋势都意味着开发安全自身也正面临一场敏捷革命。安全开发需要摸着敏捷过河狭义的开发安全强调“左移”和“右移”覆盖软件开发生命周期的需求、设计、测试、部署和运营的各个阶段。作为开发安全的主流方法之一，DevSecOps 代表开发、安全和运营，是将安全性集成到持续集成、持续交付和持续部署管道中的实践。但 DevSecOps 不仅仅是将安全“塞进”开发和运营。事实上，DevSecOps 已成为一种工程文化、一种自动化平台设计方法，目标是将安全性集成到整个 IT生命周

3、期中，成为敏捷企业的安全基石，推动 IT 文化和网络安全的革命性转变，帮助企业打造持续的竞争优势，是数字化转型的要素之一。2因此，安全开发的根本目的，不是“安全左移、右移”，而是端到端交付高质量（安全）软件，在此基础上实现“业务敏捷”，这意味着开发安全的技术提供商们也需要具备“敏捷思维”，匹配企业客户的敏捷需求。开发安全进入深水区近年来开发安全和软件供应链重大安全事件密集爆发，Log4j 漏洞、Solarwind、Kaseya、Goanywhere 软件供应链攻击，“拼多多恶意软件门”，npm 开源包投毒事件无一不是影响广泛、损失巨大，甚至撬动全球网络安全产业格局的重大事件。事实无数次证明，仅

4、仅依靠传统的被动安全方法已经无法避免软件供应链攻击导致的重大业务中断和巨额损失，主动式的、协作式的网络安全方法（例如DevSecOps、ASPM、CNAPP）正在得到更多关注和重视。与此同时，随着“安全左移”的深入，企业开发安全已经进入深水区，DevOps已经不局限于开发和运营部门，企业越来越关注商业价值端到端交付的全生命周期管理，敏捷开发正在融入敏捷业务和敏捷企业的核心业务流程。越来越多的企业开始关注基于一体化开发运营平台建设敏捷安全开发管理体系，例如业务开发运营（BizDevOps）和安全开发运营（DevSecOps）。这对于安全开发来说，不仅仅意味着“安全右移”，而且还需要突破狭义的 D

5、evOps 定义，对接企业的业务需求、敏捷战略、流程、技术和基础设施，打造符合新一代敏捷开发和敏捷企业需求的 DevSecOps 建设理论和能力体系，让安全开发成为企业“敏捷引擎”的飞轮而不是刹车片。3开发安全的全生命周期流程与产品开发安全旨在将安全措施整合到软件开发生命周期（上图）的各个阶段。以下是一些常见的 DevSecOps 开发安全产品和解决方案：静态应用程序安全测试（SAST）：SAST 工具在代码编译之前检查源代码，查找潜在的安全漏洞。动态应用程序安全测试（DAST）：DAST 工具在应用程序运行时检测安全漏洞。依赖项和代码库扫描：这些工具扫描项目的依赖项和库，以发现已知的安全漏洞

6、。软件成分分析（SCA）：随着软件供应链安全威胁的不断增长，软件成分分析（SCA）的重要性正不断提升，对于部分或者全部依赖开源软件的开发项目，SCA工具可用于自动识别整个容器映像、打包的二进制文件和源代码中的漏洞。SCA 工具对于识别和管理软件许可，以及实现最佳代码集成也很有用。容器安全：容器安全解决方案关注容器镜像的安全性、部署配置以及运行时环境。4云安全：云安全解决方案提供对基于云的应用程序、数据和基础设施的保护。代码审查工具：代码审查工具有助于检查代码质量和安全性，促使团队遵循最佳实践。常见的代码审查工具有 GitHub、GitLab、Bitbucket、Crucible 等。持续集成和