DevSecOps树模 | 天下500强企业怎样建立软件开发安全体系
某天下500强企业旗下拥有众多着名汽车品牌,业务涵盖出行服务、科技创新、金融服务、教育等。该集团一直专注于技术创新和人才造就,同时也是国内第一批倡议并践行“数字化转型”的汽车行业企业。数智化建立转型,研发安全体系建立势在必行
在双循环、智能网联化、财产升级配景下,汽车行业逐步进入“软件定义汽车时代”。此时,人、呆板、数据、网络紧密团结在一起,应用软件的可靠性及安全性不言而喻。在此配景下,该集团订定了一系列IT软件安全开发规范,并在上线进步行严酷审查。但随着企业积极深化数智化转型,软件应用数量成倍增多,对软件开发安全管理带来诸多挑衅,构建深条理的软件安全开发体系势在必行。
颠末全方面诊断,该集团面临如下挑衅:
外部
1. 国内外对汽车行业安全监管日趋严酷、合规压力大、
近年来,国内外针对智能网联车的各类安全监管主体不断增多,相关法律麋集出台、要求渐渐变细、标准规范越来越严、更新速率不断加快,如国内的《网络安全法》、《等保》,欧盟出台的《通用数据保护条例》、《网络安全管理体系(CSMS)认证》、ISO/SAE21434等要求。
2. 安全事件频发
对于汽车行业,由于软件题目而引发的汽车召回、停用甚至停售,已是任何车企难以承受的巨大损失。而一旦涉及到人身安全,舆论所带来的影响对车企而言可能是毁灭性的打击。近年来,国外内汽车事件频发,引发了企业高层及安全团队进一步的器重。
内部
1. 业务高频迭代,安全测试滞后,漏洞修复本钱高
仅在上线进步行安全测试,应用体系从提测到漏洞修复验证,直至到达企业上线要求,整个周期很长,交付时效性及软件质量难以均衡,严峻影响业务推进及市场规划。
2. 缺乏开发安全体系及流程监控
企业团结国家及行业要求,已订定了开发安全相关的制度及要求,但在实施过程中,各种必要的安全流程、技术手段、安全策略缺乏体系化的过程管控机制,且难以通过数字化指标来度量及优化落地结果。
3. 软件开发过程与安全活动流程割裂
该集团引入了一些开源及商采的安全测试工具,但未与现有开发流程紧密整合,使得整个devsecops链条中,平台分散、工具利用率不高,多部门多角色协作低效。
4. 安全测试自动化不足
在自身 DevOps 开发流程中,无法做到安全与业务服从的均衡,涉及多种测试工具及复杂测试流程,不仅需要耗费大量人力和时间,而且对安全测试人员的能力水平要求较高,过多的人工到场,会导致团体上很难包管标准化及流程的一致性。
技术赋能开发安全体系创新实践,打造DevSecOps树模标杆
通过深入现场调研,团结企业内部情况,该集团与开源网安共同构建了符合企业现状及将来发展的建立方案。该方案以SDL及DevSecOps为核生理念的新一代软件安全体系来综合解决上述题目,把安全融入到开发过程,并且实现彻底的安全左移,从源头低沉开发安全本钱,实施开发安全过程管控,落实企业规范及要求,提升应用质量。业务架构如下图所示。
https://img-blog.csdnimg.cn/img_convert/270cedd7209aebc2e69dbae505bcdd63.jpeg
1. 创建从安全检测、风险发现到漏洞处置的同一管理能力
基于自身痛点,该集团引入开源网安开发安全管控平台,并且整合 SAST、VulHunter(开源网安灰盒安全测试平台)、SourceCheck(开源组件安全及合规管理平台)、StackRox 等安全测试工具链,一方面可以通过平台内置的编排引擎自动、批量对恣意资产应用调起安全检测,另一方面临接企业的DevOps平台,在不改变原有开发模式的前提下,随日常工作自动化发起安全检测,最终将检测结果汇聚到一体化平台中,实现对漏洞风险的跟踪、处置、溯源以及预警等精细化管理能力,解决工具利用率低、数据分散的题目。
2. 无缝嵌入现有开发流程,实现安全要求平台化
开源网安提供的开发安全管控平台与集团现有的测试管理体系、同一用户权限体系集成对接,通过内置的安全知识库及轻量化威胁建模插件,自动化生成安全需求,以及安全计划、安全研发、安全测试等各个阶段的安全使命及要求,管理人员可以及时跟踪、记录、管理安全要求的提出、实现、验证、完成情况,解决流程难以管控的题目。
3. 创建合规管理及持续安全运营能力
平台内置应用安全画像问卷,通过评估建立体系的等保要求及数据安全等级,自动化关联内置的安全防护要求及预警策略,并且通过漏洞复现及修复建议、业内最佳实践等安全知识、团结开展相应的安全培训,不断提升业务部门及研发人员的安全能力及安全意识,解决同范例漏洞反复出现的题目。
该集团通过平台化落实企业开发安全体系,满足了内外部合规监管要求,实现从需求计划、编码测试到上线的全生命周期安全活动管控,并持续优化形成集团内部开发安全最佳实践。运行一年,该集团已有近千个体系在平台中实现集中管理,安全测试覆盖率达70%,漏洞修复时效提升近60%,在业务上线前消减90%以上的中高危漏洞。
将来,开源网安将对峙以市场化最佳实践及技术产品创新,为中国数字化转型之路打造数据与信息安全防御体系,携手各行业客户解答数字时代和业务发展提出的信息及数据安全题目,为汽车行业的差别应用场景提供“中国方案”,进步防范和化解软件供应链安全风险的能力,助力常态化、体系化软件供应链安全治理及开发安全及合规体系的建立。
开源网安开发安全管控平台(ASOC平台)是基于软件供应链安全及应用安全现状,推出的新一代分身开发服从与安全运营的解决方案,是DevSecOps及SDL理念优势团结的最佳实践,致力于解决数字化时代提出的应用安全及合规需求。提供从需求、计划、研发、测试到运营等软件全生命周期的开发安全活动、流程、数据及devsecops工具链的同一管理能力,致力于提升企业应用安全质量、满足合规需求、构建企业级开发安全管理体系及持续安全运营能力。
推荐阅读
吉利汽车:S-SDLC融入开发体系,推动智能汽车安全发展
某大型车企:加强汽车应用安全防护,开创智能网联汽车新篇章
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]