12月18日,由贝壳找房主办的ICS安全技术峰会在北京海航万豪酒店召开,本次会议围绕“产业互联、安全破局”的主题,汇聚腾讯、京东、贝壳找房、小米、字节跳动、长亭科技等各产业互联网领域头部企业的安全负责人和安全专家,共同就产业互联网融合下的安全趋势、安全新挑战进行剖析。京东集团信息安全部基础安全架构师李宝发表了有关DevSecOps创新实践的演讲。
最初,京东安全采用很多企业广泛使用的SDL(安全开发全生命周期)技术框架进行安全管控,在软件开发流程的各个阶段引入安全和隐私问题,安全人员从应用的需求分析开始,就全流程地参与到整个应用的开发当中,前置性地利用安全技术,帮助开发者去保证应用的安全与合规。通过实施SDL,京东的安全建设取得了不错的成效,大大降低了上线应用的安全风险和漏洞数量。
不过,随着业务的发展速度加快、业务变化和复杂度不断攀升,问题逐渐显现。首先,随着产业互联网融合加深,企业数字化转型加速,在敏捷开发的加持下,企业的应用数量激增,以京东为例,目前自研的业务应用数量在短短几年间就告诉增长了十几倍,逐个应用去投入安全人员参与全流程开发,人力、成本都难以支撑,效率也会大打折扣。其次,云化、容器化、AIoT等技术的发展,产生了很多新型安全问题,由此产生的新型攻击也是层出不穷,安全人员很难在突发应急响应的过程中,第一时间就覆盖所有业务和应用。
在京东,安全紧随业务发展,变革之路势在必行。
如何改变?李宝指出,一方面,从技术上,需要一套新的、能够自动化发现安全问题的技术框架,不仅需要从开发端最大程度地减少问题,也要能够在应用上线后出现漏洞时,能够快速敏捷地解决问题;另一方面,为了避免忙于“救火”和“打地鼠”,李宝提到,“安全问题并不是安全团队可以独立解决的事情,需要开发者和运营者能够熟练操作这套自动化的技术框架,安全人员则扮演赋能者和指导者的角色。”
李宝提到的这个技术框架,就是DevSecOps。京东集团正在落地实践这套体系。
关于DevSecOps自动化和闭环完整性的优势自不必说。在会上,李宝介绍了京东在DevSecOps框架中的创新与最佳实践。
以前置代码安全为例,很多企业的开发人员在编写代码时没有考虑到安全因素,最终在CI/CD(持续集成/持续交付)的过程中发现了问题,为此要付出高昂的修正成本。为了解决这个问题,京东安全主要从两方面入手:
一方面,京东安全制定了一整套严谨的编码标准,从源头上去提升研发人员的代码质量;
另一方面,“只要有人工操作就难免有失误”,为了最大限度地减少漏洞数量,京东安全还采用前置代码的方式去自动化地排查安全隐患,比如在开发人员的IDE环境当中置入代码安全引擎,这套引擎有自动触发、检测及时、使用简单、定位准确、更新方便等诸多优点,能够在开发人员写代码过程中,自动化、友好地提醒他们存在的安全隐患。
除此之外,“授人以鱼不如授人以渔”,它还能针对性的给出代码修改建议。长此以往,则会带动开发人员编码质量和安全意识、安全水平的整体提升。
目前,很多公司均在应用在DAST(动态应用程序安全测试)技术,与其不同的是,京东安全通过业务流重放的模式,模拟黑客行为覆盖到业务的全流程,以确保最大程度地发现潜在风险。
除了编码阶段的前置代码安全和测试阶段的DAST实践,李宝还在会上介绍了京东安全在发布阶段的构建可信应用,以及应用上线后的漏洞热修复方面的创新与实践,覆盖了整个DevSecOps闭环的各个阶段。
凭借DevSecOps的落地和创新利用,通过一系列安全框架最佳实践落地措施,集团各个业务线研发人员的安全意识、安全水平明显明显提提升,安全建设成效显著——尽快集团的应用数量大幅上升到两百万的量级,但是应用上线前的漏洞数量总量却比之前下降了百分之六十之多。
达则兼济天下。
在前不久的京麒网络安全大会上,京东安全发布了全新的企业安全操作系统,此系统是在京东安全多年建设经验和技术的基础上,对于其中精华技术和创新实践的方法论沉淀。在不久的将来,京东安全希望能够通过这套系统,将京东的甲方最佳安全实践和创新技术,以生态连接的方式,赋能给行业,帮助更多企业构建安全、高效、低成本的业务环境。
文章来源:网络