DevSecOps敏捷安全技术金字塔V3.0正式发布

news2024/11/24 4:51:41

2022年12月28日,由悬镜安全主办,3S-Lab软件供应链安全实验室、Linux基金会OpenChain社区、ISC、OpenSCA社区联合协办的第二届全球DevSecOps敏捷安全大会(DSO 2022)已通过全球直播的形式圆满举行。本届大会以“共生·敏捷·进化”为主题,以“敏捷共生,守护中国软件供应链安全”为使命,聚焦DevSecOps敏捷安全、软件供应链安全和云原生安全三大典型应用场景下的新技术、新态势、新实践。

会上,大会出品人、悬镜安全创始人子芽以“DevSecOps敏捷安全技术演进洞察(2022)”为主题,围绕DevSecOps敏捷安全技术演进趋势以及关键技术应用实践作了精彩分享,并正式发布了行业期待已久的第三版DevSecOps敏捷安全技术金字塔。

下面让我们一同揭秘“DevSecOps敏捷安全技术金字塔V3.0”。

01. 什么是DevSecOps敏捷安全技术金字塔?

随着企业数字化转型加速,更多的数字资产和员工处于传统企业基础设施边界之外,同时,各式各样数字化转型而来的新业务和新技术也成为企业安全团队的保护对象。企业若想应对未来高级威胁和复杂场景的挑战,支持内生自免疫、敏捷自适应、共生自进化的积极防御安全架构成了必要选择,安全功能应可拆分成诸多原子化的安全能力,具备离散式制造、集中式交付、统一化管理、智能化应用等关键能力,进而通过控制层编排组合成适应不同业务场景安全要求的敏捷工具链和体系化方案。

在这样的大背景下,DevSecOps敏捷安全技术金字塔应运而生,它是DSO敏捷安全大会出品人子芽基于长期DevSecOps敏捷安全技术前沿研究探索成果以及悬镜安全团队在软件供应链安全和云原生安全领域多年的应用实践沉淀汇聚而来,融合了国内外行业头部企业 “安全左移,从源头做风险治理”和“敏捷右移,安全运营敏捷化”的实践思想,并持续内涵了“出厂自免疫、敏捷自适应、共生自进化”的关键特性。其中,不同敏捷安全技术栈落入金字塔不同实践阶层的重点考量主要围绕“技术创新度、产品成熟度和市场需求度”三个维度展开。

图1 DevSecOps敏捷安全技术金字塔V3.0

02. DevSecOps敏捷安全技术金字塔V3.0有什么新变化?

图2 DevSecOps敏捷安全技术金字塔-演进对比

作为DevSecOps敏捷安全技术的引领指南,本次发布的3.0版本不仅延续了敏捷安全技术分层与企业组织DevSecOps成熟度非正比关系的编排原则,还引入了跨领域新技术与敏捷安全技术进行深入的实践融合。本次DevSecOps敏捷安全技术金字塔V3.0根据不同阶段相关技术的应用成熟度和落地效果进一步细化了敏捷安全应用实践的阶层,包含传统建设层、应用实践层(敏捷安全实践第一层)、技术探索层、效果度量层和卓越层(最高层)共五个阶段,下面将逐一进行技术解码:

传统建设层:WAF、EDR、Deception、CKS、ASTs

从网络安全技术演进和传统纵深防御体系构筑的视角,典型实用的安全技术主要分为边界流量分析技术、端点环境检测响应技术和应用情境感知响应技术。

在金字塔V3.0中,悬镜安全首次将Deception(攻击欺骗)和CKS(容器和K8s安全)纳入并置于传统建设层,主要是考虑到趋势发展和相关应用实践的成熟性,子芽提出,它们已经成为不同企业在不同场景下的基本应用要求。以CKS为例,随着容器和微服务等新型基础设施的日益普及和CKS技术门槛的大幅度降低,该技术被视为传统安全体系建设过程中基本具备的安全能力。

作为传统纵深防御关键技术的WAF、EDR以及ASTs依然入选。其中ASTs包括了SAST(白盒)、DAST(黑盒)和MAST(移动应用安全)三种传统应用安全测试技术,子芽也提到,AST技术存在进一步的融合趋势。

应用实践层:IAST、SCA、RASP、BAS

在应用实践层中,涵盖了四种既能在日常应用实践过程中具备较好应用效果,又能与DevOps CI/CD管道柔和融合的创新技术。

其中,RASP(Runtime Application Self-protection,运行时应用自我保护)由于在0DAY未知漏洞攻击防御、API威胁免疫、红蓝对抗、软件供应链攻击防御及应用东西向威胁流量检测响应过程中相对出色的表现预期以及技术性能的大幅度提升,日渐被市场青睐,从过往所处的技术探索层踊跃至DevSecOps敏捷安全技术实践的第一层。子芽预测,在接下来的三年中,RASP在HW、红蓝对抗等场景下会有更加广泛的市场应用。

此外,子芽着重强调,在这一层中,IAST和RASP的深度融合是大势所趋。随着运行时智能插桩、应用威胁情境感知和API智能检测响应等关键技术的创新与突破,以IAST和RASP为核心的代码疫苗技术迎来了蓬勃发展期。通过单探针的形式,代码疫苗技术不仅能在测试环境中实现应用风险检测以及API挖掘和覆盖分析,还能赋能数字化应用实现攻击威胁的出厂免疫以并提供运行时敏感数据追踪等关键能力,实现检测响应一体化,支持软件供应链攻击防御、0DAY未知漏洞攻击防御、应用东西向威胁流量检测响应、无文件攻击检测响应、漏洞攻击全链路回溯及API威胁免疫等复杂应用场景。

图3 All in one:“代码疫苗”单探针深度融合

技术探索层:DRA、SDE、Fuzzing

作为DevSecOps敏捷安全技术实践的第二层,引入的创新技术都是具备强技术突破性,可具体解决某类应用场景下突出问题,但在通用应用效果、市场需求和实践方面还有巨大提升潜力的前瞻性技术。

 DRA(Data Risk Assessment,数据风险评估)是首次引入金字塔的创新技术。在子芽看来,DRA作为开展数据安全治理工作的基础,主要关注数据安全风险包括数据传输、个人隐私、数据生命周期管理、技术漏洞等,不但受国家法律和监管要求的强推动,而且是DevSecOps敏捷安全技术实战需求。对此子芽指出,随着DevSecOps敏捷安全技术应用实践的深入,敏捷安全体系的建设不再只关注应用级别的漏洞和外部攻击威胁,还将进一步深入到敏感数据泄露风险评估和治理工作。

同样作为首次引入金字塔的创新技术,SDE(Securing Development Environment,开发环境安全)涉及保护完整的软件开发环境,包括但不限于源代码存储库、CI/CD 管道、应用程序工件和用户身份信息。鉴于软件供应链攻击、开源工具的广泛使用以及远程工作方式导致的风险增加,保护开发环境变得至关重要。子芽认为,透过近年来的RSAC创新沙盒大赛可以发现,代码安全和开发环境安全已然成为软件供应链安全的主要抓手,正呈现融合发展的趋势。

这一层中第三个创新技术是连续三次引入金字塔的Fuzzing(API模糊测试),聚焦未知漏洞挖掘和异常风险发现。但子芽表示,受限于其独特的技术原理和高应用门槛,对常态化使用它的用户有着较高的专业技能要求,且在检测精度、技术性能上有较大提升空间,Fuzzing未来仍需要一段时间才能成熟。

效果度量层:ASOC、CNAPP

作为DevSecOps敏捷安全技术实践的第三层,引入的都是框架型平台技术,侧重于提升整个敏捷安全体系的运营效率,但在市场需求和实践方面尚有巨大提升潜力。

ASOC(Application Security Orchestration and Correlation,应用安全编排与关联)也是首次引入金字塔的创新技术。子芽介绍到,它是由过往版本金字塔中的ASTO(Application Security Testing Orchestration,应用安全测试自动化编排)和AVC(Application Vulnerability Correlation,应用程序漏洞关联)两项技术合并而成,核心优势在于可以较大程度提高DevSecOps的运行效率,可将面向应用安全(Appsec)的DevSecOps敏捷安全工具链真正运营起来,是安全左移实践思想的重要落地抓手。ASTO强调的是向下编排安全工具链,以智能自动化的方式来完成安全活动;AVC则从漏洞入手,针对各种AST工具长久以来无法解决的误报、重复等问题,引入漏洞关联分析手段协助用户进行更好的修复优先级判断。

CNAPP(Cloud-Native Application Protection Platform,云原生应用保护平台)同样是首次引入,它不是简单拼凑工具,而是一个云原生安全框架型技术,通过将现有的云安全技术融合到一个统一的面向应用全生命周期的解决方案中,并将已经存在的单点防护进行整合,实现了从代码开发到构建再到部署运行整个应用生命周期的安全可视化以及安全防护,子芽指出,从这个角度理解,CNAPP是安全左移的典型表现。它同样也是敏捷右移实践思想的重要落地抓手,重点从保护基础设施转向保护工作负载和在这些工作负载上运行的应用程序,可在统一平台中执行所有这些功能,帮助消除DevSecOps流程中的摩擦。

卓越层:CARTA

作为DevSecOps敏捷安全技术实践的最高层,也是DevSecOps敏捷安全体系建设的终极愿景,连续三年被CARTA占据。CARTA(Continuous Adaptive Risk and Trust Assessment,自适应风险与信任评估)从规划、构建、运营三个维度动态评估企业的数字化业务在整个软件全生命周期中面临的风险和信任,不追求零风险,不要求100%信任,持续构建一个信任和弹性的研运一体化安全环境,使得企业组织能够敏捷地、和业务共生地、持续进化地参与到软件供应链安全建设和保障中去。

图4 CARTA自适应风险与信任评估框架

子芽重点提到,网络安全的本质是风险和信任的动态平衡。DevSecOps不是安全开发和安全运营的简单结合,安全开发的终点也不能简单归结为漏洞处置,安全运营的终点亦不能简单归结为威胁响应,而是应以终(漏洞处置和威胁响应)为始,回归应用和体系,以人为本,结合智能自动化技术实现共生、敏捷、进化的安全新局面,形成真正意义上的应用全生命周期持续安全大循环,这才是DevSecOps敏捷安全体系建设的终极愿景,也正是DevSecOps莫比乌斯环所真正象征的意义。

03. DevSecOps敏捷安全技术如何落地?

最后,子芽分享了DevSecOps在落地过程中的轻量级应用实践指南。轻量级是指该指南不是简单面向DevSecOps敏捷安全技术金字塔所囊括的所有技术,力求能结合企业自身安全体系建设现状在短中期内达到一定的实践效果,帮助企业用户逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的安全开发运营共生体系,兼顾文化、流程、技术演进和持续度量。

图5 DevSecOps轻量级应用实践指南

DevSecOps敏捷安全技术金字塔V3.0的发布,又一次刷新了行业力量对软件供应链安全体系建设的新认知,全方位、系统性、深层次地把脉了DevSecOps敏捷安全技术的未来演进趋势、软件供应链安全领域技术创新研究和落地实践的进化方向,更以实际行动推动安全产业生态共建、共治、共享,传递和初步践行了DSO敏捷安全大会“敏捷共生,守护中国软件供应链安全”的使命。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/189092.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

HTB_Markup_xml注入读ssh私钥进程注入

文章目录信息收集xml注入ssh 私钥连接提权信息收集 使用如下参数可以探测具体版本,只使用-sV -v无此效果 nmap -sC -A -Pn 10.129.95.192是个登录页面 弱口令,只有admin-password成功登录 几个页面,只有order.php页面可以与后端交互并传递x…

【Kubernetes 企业项目实战】06、基于 Jenkins+K8s 构建 DevOps 自动化运维管理平台(中)

目录 一、基于 Jenkinsk8sGitDocker Hub 等技术链构建企业级 DevOps 容器云平台 1.1 安装 Jenkins 1.1.1 安装 nfs 服务 1.1.2 在 kubernetes 中部署 jenkins 1.2 配置 Jenkins ​1.2.1 获取管理员密码 1.2.2 安装插件 1.2.3 创建第一个管理员用户 1.3 测试 jenkins 的…

VMware Workstation中安装Kali 2022

VMware Workstation中安装Kali 2022 前言 开工了,笔记本中的相关工具该更新了,今天记录一下。 首先记录的是在VMware Workstation中安装kali,这个过程比较简单。 我只是想扩充一下自己的博客,另外可以给入门人员一个参考。 下载…

react的JSX语法

1.jsx基本使用 1 createElement() 的问题 繁琐不简洁。不直观,无法一眼看出所描述的结构。不优雅,用户体验不爽。 2 JSX 简介 JSX 是 JavaScript XML 的简写,表示在 JavaScript 代码中写 XML(HTML) 格式的代码。 优…

通信原理笔记—增量调制(∆M)

目录 概述: 简单增量调制(∆M)原理: 编码器与解码器 简单△M的过载问题: 增量总和(∆-Σ)调制 数字压扩自适应增量调制: 不同编码调制方式的误码性能分析: 概述: 最简单的DPCM是增量调制&#xff0c…

layui框架学习(4:导航)

layui官网教程采用html中的无序列表和定义列表来实现导航样式(文章最后还有个关于导航所用元素的补充说明),主要包括水平导航、垂直/侧边导航,同时还支持用span和a元素实现面包屑导航样式。导航功能需要加载element模块&#xff0…

实验二:Linux主机漏洞利⽤攻击实践

(一)实验简介 实验所属系列:windows主机漏洞利用攻击实践 实验对象:本科/专科信息安全专业 相关课程:渗透测试 实验时数(学分):2学时 实验类别:实践类 (二&a…

如何集中式管理多个客户端节点传输任务-镭速

在一些生产制造企业或it部门,它们的生产机器设备每天都会有大量的生产数据,并且需要人为地对这些数据进行迁移或者归档备份到其他存储。这样重复性的操作,无疑大大提高了人工成本,而且运作起来的效率也不高。 镭速服务器集中式任务…

MySQL优化方案

一、MySQL 的优化方案有哪些?MySQL 数据库常见的优化手段分为三个层面:SQL 和索引优化、数据库结构优化、系统硬件优化等,每个大的方向中又包含多个小的优化点。1.SQL 和索引优化通过优化 SQL 语句以及索引来提高 MySQL 数据库的运行效率① 使…

【UE5】动画系统

title: 【UE5】动画系统 date: 2023-01-31 19:50:47 tags: UE5 categories: 学习笔记 password: abstract: message: 最近接触的项目涉及到动捕和动画,以前接触的范围主要是GamePlay以及C和蓝图的交互,很少接触动画,借此机会学习一下UE5的动…

【Jmeter】报错解决:JedisException: Could not return the broken resource to the pool

一、报错详情 (1)报错场景 使用 Jmeter 插件 Redis Data Set 配置连接 Redis 数据池时,运行出现报错 (2)报错日志

Python对liunx中mysql数据库进行单表查询 10个案例带你了解

关于Python连接liunx中mysql数据库的方式在这一篇文章 这里写目录标题1.在Liunx服务器中的mysql新建一个表2.插入数据3.连接liunx中的mysql数据库1、查询1946班的成绩信息2,查询1944班,语文成绩大于60小于90的成绩信息3,查询学生表中1到6行的…

QTabWidget 美化 qss

1. tab, tab-bar, pane属性分布 2. 使用qss美化时,tab标签上和pane中都能美化成功,但tab最右侧的tab-bar却始终没有成功。 /*设置控件的背景*/ QTabWidget {background-color:rgb(4,138,224); } /*设置控件下面板的背景颜色*/ QT…

C++11 常用的新特性

本篇介绍C11标准对比之前C标准的新特性,C11为C语言在2011年发布的版本,它改进幅度很大,影响至今。如加入auto 关键字、nullptr、移动语义(move semantics)、委托构造函数(delegating constructors&#xff…

ChatGPT超详细注册与使用教程

文章目录前言一、ChatGPT账号注册二、SMS-ACTIVATE虚拟手机号验证三、ChatGPT使用总结前言 最近ChatGPT非常火爆,是一种革命性的技术,这也吸引来了很多人想尝试一下,但是由于并没有在国内开通这项服务,所以国内的用户无法使用Chat…

Javascript预解析

1.我们js引擎运行js 分为两步,1.预解析,2.执行代码 (1)预解析:js引擎会把js里面所有的var还有function提升到当前作用域发的前面 (2)执行代码:按照代码书写的顺序从上往下执行 2.预…

RK3588平台开发系列讲解(进程篇)进程的处理器亲和性

平台内核版本安卓版本RK3588Linux 5.10Android 12文章目录 一、简介二、相关结构体三、函数接口四、cpuset的使用沉淀、分享、成长,让自己和他人都能有所收获!😄 📢本篇介绍进程的处理器亲和性相关知识。 一、简介 Linux进程调度器为了充分利用CPU资源,会将进程在不同的…

如何养成整洁的代码习惯

如何养成整洁的代码习惯前言1.为什么要保持代码整洁?1.1 所以从一开始就要保持整洁1.2 如何写出整洁的代码?2.命名2.1 不好的命名方式1.没有任何意义的命名方式2.命名前后不一致3.命名冗余3.类3.1单一职责3.2 开闭原则3.3 内聚4.函数4.1 只做一件事4.2 函数命名1.函数名应见名…

春季开学必备物品清单、数码好物推荐篇

开学的脚步近了,近了,大学生返校,万物更新,大家迎接开学季的阵仗堪比迎接春天了。灵魂发问:开学装备备齐了吗?大学生们的情绪调整好了吗?自己要不要再回回炉,充充电?这次…

【redis6】第十二章(持久化)

RDB RDB是什么 在指定的时间间隔内将内存中的数据集快照写入磁盘, 也就是行话讲的SNAPSHOT快照,它恢复时是将快照文件直接读到内存里 备份是如何执行的 Redis会单独创建(fork)一个子进程来进行持久化,会先将数据写…