面向云计算的可信研发运营安全
系列标准解读
吴江伟
中国信息通信研究院云大所云计算部工程师
01标准工作背景
什么是面向云计算的可信研发运营安全
原油脱硫剂
面向云计算的
可信
研发运营安全
可信•安全•用户信赖
面向云计算
•IaaS :云主机、对象存储等•PaaS :应用托管容器等•SaaS :智能客服、财务管理等
研发运营
•指服务应用研发运营全生命周期;
•包含需求设计、安全编码、测试、发布、部署,延伸到安全运营、运营数据反馈以及服务下线。 数据来源:Forrester Analytics Global Business Technographics Security Survey ,2019
40%37%
28%
25%25%25%25%
20%19%
14%
6%1%
0%
5%
10%
15%
20%
25%
30%
35%
40%
同时率45%
Web 应用程序(SQL 注入、跨站脚本等)
使用被盗凭证(加密秘钥)
DDoS 水坑攻击移动恶意软件利用丢失/被盗资产
DNS 钓鱼软件社会工程学
氢气压缩机防爆等级其他
根据Forrester 2019年发布的调查数据显示,在已经核实的外部攻击中,软件漏洞与Web 应用程序攻击位于前两位。软件漏洞主要指漏洞的利用攻击、Web 应用程序指基于程序的SQL 注入、跨站脚本攻击等,二者都与代码安全紧密相关。
研发阶段安全介入相对滞后,安全左移有助于削减成本安全补丁管理
渗透测试
动态安全测试
数据脱敏
系统调试
数据来源:金融行业软件安全状况synopsys&Ponemon 研发测试测试阶段发布阶段运行阶段
光纤入户信息箱软件在各个阶段修复漏洞的成本相差极大:
微孔抛光镜面加工
美国国家标准与技术研究所(NIST)统计,在发布后执行代码修复,其修复成本相当于在设计阶段执行修复的30倍;
数控冲床模具IBM和HP给出的数据显示,成本相差在30到50倍之间;
Fortify数据显示,在软件需求分析阶段就开始避免漏洞的成本比发布后修复成本低100倍。
安全工具使用阶段相对滞后,位于研发测试阶段末期,并没有覆盖早期研发安全编码阶段。
