1. 浅谈DevSecOps敏捷安全发展趋势 - 悬镜安全子芽（16页）.pdf

1、浅谈浅谈DevSecOpsDevSecOps敏捷安全发展趋势敏捷安全发展趋势演讲人：子芽演讲时间：2021.07.21目录C o n t e n t s致辞1技术分享2寄语30101致辞致辞致辞作为中国首届作为中国首届“DevSecOps敏捷安全大会敏捷安全大会“，创立初心创立初心？生态生态：搭建一个汇集“行业用户、产业智库、安全媒体及技术厂商“的：搭建一个汇集“行业用户、产业智库、安全媒体及技术厂商“的DevSecOpsDevSecOps生态交流平台生态交流平台；齐鸣齐鸣：行业用户分享场景：行业用户分享场景实践实践，产业智库分享，产业智库分享标准标准研究，圈内媒体分享行业研究，圈内媒体分享行

2、业趋势趋势，领军厂商分享创新，领军厂商分享创新技术技术；共舞共舞：定期输出：定期输出DevSecOpsDevSecOps创新落地实践，推动敏捷安全技术应用发展，共筑行业性整体解决方案。创新落地实践，推动敏捷安全技术应用发展，共筑行业性整体解决方案。致辞为何是“为何是“安全从供应链开始安全从供应链开始“？“？内因：数字经济时代，软件定义万物，安全内生于业务发展；软件开源日趋盛行，开源软件成为现代软件开发最基础的原材料；外因：自动化恶意攻击技术不断升级，软件供应链攻击趋势明显加强；供应链安全与否直接影响国家安全。技术分享技术分享0202云原生时代的软件开发模式变革瀑布模型敏捷模型DevOps瀑布式

3、开发敏捷开发DevOps现实场景面临的安全挑战现实场景面临的安全挑战传统开发场景下如何高效实践SDLDevOps场景下如何与CI/CD结合，实践可度量的敏捷安全建设过渡场景下如何结合组织特点逐步转型，做中长期安全开发和运营体系建设设计开发测试部署现代应用软件安全风险面的新认知开源成分缺陷及漏洞开源代码及组件现代应用软件组成成分自研代码Web通用漏洞SQL注入、命令执行、XXE、XSS等OWASP TOP10漏洞业务逻辑漏洞水平/垂直越权、短信轰炸、批量注册等不局限于CNNVD、CNVD、CVE等漏洞混源软件开发混源软件开发已成为现代应用主要软件开发交付方式，对它的全面风险审查应考虑从第三方开源

4、组件缺陷及后门、自研代码通用漏洞、自研代码业务逻辑漏洞、潜藏恶意代码等维度综合审计。异常行为代码各类Webshell木马、后门及恶意代码等DevSecOps敏捷安全技术未来演进方向DevSecOps敏捷安全技术金字塔V2.0版DevSecOps实践：1）DevSecOps核心愿景是构建一个信任和弹性的研运一体化环境，使得组织能够敏捷地、安全地、充分地参与到软件供应链建设和保障中去。2）自动化、敏捷和情境化是DevSecOps建设的技术基础，不仅要求全量及增量检测高精度低误报，还需要具备业务透视及数据协同分析能力；3）不仅关注应用本身风险，还关注CI/CD管道、容器、API等应用基础设施安全及人

5、为因素引入带来的异常风险；4）技术驱动从左移（安全前置）到无处不移演进，和云原生安全技术进入更深融合阶段，成为组织上云重点实践要求。CARTA自适应风险与信任评估技术新技术注解：CARTA（Continuous Adaptive Risk and Trust Assessment）：持续自适应风险与信任评估技术，它作为DevSecOps敏捷安全体系建设的战略框架，结合组织目标及业务价值属性，从规划、构建、运行三个维度动态评估组织业务在整个软件供应链生命周期中面临的风险和信任，不要求零风险，不追求100%信任。ARSA（Automating Security Risk Assessments）:

6、自动化安全风险评估技术，它的目标是将定义明确且可重复的风险评估过程的各个要素整合起来，以识别、度量和处置IT风险。引入该项技术，更多是利用它和交叉新技术结合实现对诸如研发过程中的代码风险等进行动态评估。DevSecOps应用安全工具链SDLC覆盖计划编码构建单元测试系统测试非功能测试业务验收测试发布运营IAST交互式灰盒安全测试OSS开源威胁治理（含SCA软件成分分析）BAS持续威胁模拟RASP自适应威胁免疫DevSecOps全流程安全赋能平台（ASTO/AVC/ASRA/CARTA）情景式需求分析和威胁建模Dev