?2022年12月28日，由懸鏡安全主辦，3S-Lab軟件供應鏈安全實驗室、Linux基金會OpenChain社區(qū)、ISC、OpenSCA社區(qū)聯(lián)合協(xié)辦的第二屆全球DevSecOps敏捷安全大會（DSO 2022）已通過全球直播的形式圓滿舉行。本屆大會以“共生·敏捷·進化”為主題，以“敏捷共生，守護中國軟件供應鏈安全”為使命，聚焦DevSecOps敏捷安全、軟件供應鏈安全和云原生安全三大典型應用場景下的新技術(shù)、新態(tài)勢、新實踐。

會上，大會出品人、懸鏡安全創(chuàng)始人子芽以“DevSecOps敏捷安全技術(shù)演進洞察（2022）”為主題，圍繞DevSecOps敏捷安全技術(shù)演進趨勢以及關(guān)鍵技術(shù)應用實踐作了精彩分享，并正式發(fā)布了行業(yè)期待已久的第三版DevSecOps敏捷安全技術(shù)金字塔。

下面讓我們一同揭秘“DevSecOps敏捷安全技術(shù)金字塔V3.0”。

什么是DevSecOps敏捷安全技術(shù)金字塔？

 隨著企業(yè)數(shù)字化轉(zhuǎn)型加速，更多的數(shù)字資產(chǎn)和員工處于傳統(tǒng)企業(yè)基礎設施邊界之外，同時，各式各樣數(shù)字化轉(zhuǎn)型而來的新業(yè)務和新技術(shù)也成為企業(yè)安全團隊的保護對象。企業(yè)若想應對未來高級威脅和復雜場景的挑戰(zhàn)，支持內(nèi)生自免疫、敏捷自適應、共生自進化的積極防御安全架構(gòu)成了必要選擇，安全功能應可拆分成諸多原子化的安全能力，具備離散式制造、集中式交付、統(tǒng)一化管理、智能化應用等關(guān)鍵能力，進而通過控制層編排組合成適應不同業(yè)務場景安全要求的敏捷工具鏈和體系化方案。

在這樣的大背景下，DevSecOps敏捷安全技術(shù)金字塔應運而生，它是DSO敏捷安全大會出品人子芽基于長期DevSecOps敏捷安全技術(shù)前沿研究探索成果和懸鏡安全團隊在軟件供應鏈安全和云原生安全領(lǐng)域多年的應用實踐沉淀匯聚而來，融合了國內(nèi)外行業(yè)頭部企業(yè) “安全左移，從源頭做風險治理”和“敏捷右移，安全運營敏捷化”的實踐思想，并持續(xù)內(nèi)涵了“出廠自免疫、敏捷自適應、共生自進化”的關(guān)鍵特性（關(guān)注‘懸鏡安全’官方公眾號，即可參考子芽專業(yè)著作《DevSecOps敏捷安全》，了解更多”）。其中，不同敏捷安全技術(shù)棧落入金字塔不同實踐階層的重點考量主要圍繞“技術(shù)創(chuàng)新度、產(chǎn)品成熟度和市場需求度”三個維度展開。

圖1 DevSecOps敏捷安全技術(shù)金字塔V3.0

DevSecOps敏捷安全技術(shù)金字塔V3.0有什么新變化？

圖2 DevSecOps敏捷安全技術(shù)金字塔-演進對比

作為DevSecOps敏捷安全技術(shù)的引領(lǐng)指南，本次發(fā)布的3.0版本不僅延續(xù)了敏捷安全技術(shù)分層與企業(yè)組織DevSecOps成熟度非正比關(guān)系的編排原則，還引入了跨領(lǐng)域新技術(shù)與敏捷安全技術(shù)進行深入的實踐融合。本次DevSecOps敏捷安全技術(shù)金字塔V3.0根據(jù)不同階段相關(guān)技術(shù)的應用成熟度和落地效果進一步細化了敏捷安全應用實踐的階層，包含傳統(tǒng)建設層、應用實踐層（敏捷安全實踐第一層）、技術(shù)探索層、效果度量層和卓越層（最高層）共五個階段，下面將逐一進行技術(shù)解碼：

傳統(tǒng)建設層：WAF、EDR、Deception、CKS、ASTs

從網(wǎng)絡安全技術(shù)演進和傳統(tǒng)縱深防御體系構(gòu)筑的視角，典型實用的安全技術(shù)主要分為邊界流量分析技術(shù)、端點環(huán)境檢測響應技術(shù)和應用情境感知響應技術(shù)。

在金字塔V3.0中，懸鏡安全首次將Deception（攻擊欺騙）和CKS（容器和K8s安全）納入并置于傳統(tǒng)建設層，主要是考慮到趨勢發(fā)展和相關(guān)應用實踐的成熟性，子芽提出，它們已經(jīng)成為不同企業(yè)在不同場景下的基本應用要求。以CKS為例，隨著容器和微服務等新型基礎設施的日益普及和CKS技術(shù)門檻的大幅度降低，該技術(shù)被視為傳統(tǒng)安全體系建設過程中基本具備的安全能力。

作為傳統(tǒng)縱深防御關(guān)鍵技術(shù)的WAF、EDR以及ASTs依然入選。其中ASTs包括了SAST（白盒）、DAST（黑盒）和MAST（移動應用安全）三種傳統(tǒng)應用安全測試技術(shù)，子芽也提到，AST技術(shù)存在進一步的融合趨勢。

應用實踐層：IAST、SCA、RASP、BAS

在應用實踐層中，涵蓋了四種既能在日常應用實踐過程中具備較好應用效果，又能與DevOps CI/CD管道柔和融合的創(chuàng)新技術(shù)。

其中，RASP（Runtime Application Self-protection，運行時應用自我保護）由于在0DAY未知漏洞攻擊防御、API威脅免疫、紅藍對抗、軟件供應鏈攻擊防御及應用東西向威脅流量檢測響應過程中相對出色的表現(xiàn)預期以及技術(shù)性能的大幅度提升，日漸被市場青睞，從過往所處的技術(shù)探索層踴躍至DevSecOps敏捷安全技術(shù)實踐的第一層。子芽預測，在接下來的三年中，RASP在HW、紅藍對抗等場景下會有更加廣泛的市場應用。

此外，子芽著重強調(diào)，在這一層中，IAST和RASP的深度融合是大勢所趨。隨著運行時智能插樁、應用威脅情境感知和API智能檢測響應等關(guān)鍵技術(shù)的創(chuàng)新與突破，以IAST和RASP為核心的代碼疫苗技術(shù)迎來了蓬勃發(fā)展期。通過單探針的形式，代碼疫苗技術(shù)不僅能在測試環(huán)境中實現(xiàn)應用風險檢測以及API挖掘和覆蓋分析，還能賦能數(shù)字化應用實現(xiàn)攻擊威脅的出廠免疫以并提供運行時敏感數(shù)據(jù)追蹤等關(guān)鍵能力，實現(xiàn)檢測響應一體化，支持軟件供應鏈攻擊防御、0DAY未知漏洞攻擊防御、應用東西向威脅流量檢測響應、無文件攻擊檢測響應、漏洞攻擊全鏈路回溯及API威脅免疫等復雜應用場景。

圖3 All in one：“代碼疫苗”單探針深度融合

技術(shù)探索層：DRA、SDE、Fuzzing

作為DevSecOps敏捷安全技術(shù)實踐的第二層，引入的創(chuàng)新技術(shù)都是具備強技術(shù)突破性，可具體解決某類應用場景下突出問題，但在通用應用效果、市場需求和實踐方面還有巨大提升潛力的前瞻性技術(shù)。

DRA（Data Risk Assessment，數(shù)據(jù)風險評估）是首次引入金字塔的創(chuàng)新技術(shù)。在子芽看來，DRA作為開展數(shù)據(jù)安全治理工作的基礎，主要關(guān)注數(shù)據(jù)安全風險包括數(shù)據(jù)傳輸、個人隱私、數(shù)據(jù)生命周期管理、技術(shù)漏洞等，不但受國家法律和監(jiān)管要求的強推動，而且是DevSecOps敏捷安全技術(shù)實戰(zhàn)需求。對此子芽指出，隨著DevSecOps敏捷安全技術(shù)應用實踐的深入，敏捷安全體系的建設不再只關(guān)注應用級別的漏洞和外部攻擊威脅，還將進一步深入到敏感數(shù)據(jù)泄露風險評估和治理工作。

同樣作為首次引入金字塔的創(chuàng)新技術(shù)，SDE（Securing Development Environment，開發(fā)環(huán)境安全）涉及保護完整的軟件開發(fā)環(huán)境，包括但不限于源代碼存儲庫、CI/CD 管道、應用程序工件和用戶身份信息。鑒于軟件供應鏈攻擊、開源工具的廣泛使用以及遠程工作方式導致的風險增加，保護開發(fā)環(huán)境變得至關(guān)重要。子芽認為，透過近年來的RSAC創(chuàng)新沙盒大賽可以發(fā)現(xiàn)，代碼安全和開發(fā)環(huán)境安全已然成為軟件供應鏈安全的主要抓手，正呈現(xiàn)融合發(fā)展的趨勢。

這一層中第三個創(chuàng)新技術(shù)是連續(xù)三次引入金字塔的Fuzzing（API模糊測試），聚焦未知漏洞挖掘和異常風險發(fā)現(xiàn)。但子芽表示，受限于其獨特的技術(shù)原理和高應用門檻，對常態(tài)化使用它的用戶有著較高的專業(yè)技能要求，且在檢測精度、技術(shù)性能上有較大提升空間，F(xiàn)uzzing未來仍需要一段時間才能成熟。

效果度量層：ASOC、CNAPP

作為DevSecOps敏捷安全技術(shù)實踐的第三層，引入的都是框架型平臺技術(shù)，側(cè)重于提升整個敏捷安全體系的運營效率，但在市場需求和實踐方面尚有巨大提升潛力。

ASOC（Application Security Orchestration and Correlation，應用安全編排與關(guān)聯(lián)）也是首次引入金字塔的創(chuàng)新技術(shù)。子芽介紹到，它是由過往版本金字塔中的ASTO（Application Security Testing Orchestration，應用安全測試自動化編排）和AVC（Application Vulnerability Correlation，應用程序漏洞關(guān)聯(lián)）兩項技術(shù)合并而成，核心優(yōu)勢在于可以較大程度提高DevSecOps的運行效率，可將面向應用安全（Appsec）的DevSecOps敏捷安全工具鏈真正運營起來，是安全左移實踐思想的重要落地抓手。ASTO強調(diào)的是向下編排安全工具鏈，以智能自動化的方式來完成安全活動；AVC則從漏洞入手，針對各種AST工具長久以來無法解決的誤報、重復等問題，引入漏洞關(guān)聯(lián)分析手段協(xié)助用戶進行更好的修復優(yōu)先級判斷。

CNAPP（Cloud-Native Application Protection Platform，云原生應用保護平臺）同樣是首次引入，它不是簡單拼湊工具，而是一個云原生安全框架型技術(shù)，通過將現(xiàn)有的云安全技術(shù)融合到一個統(tǒng)一的面向應用全生命周期的解決方案中，并將已經(jīng)存在的單點防護進行整合，實現(xiàn)了從代碼開發(fā)到構(gòu)建再到部署運行整個應用生命周期的安全可視化以及安全防護，子芽指出，從這個角度理解，CNAPP是安全左移的典型表現(xiàn)。它同樣也是敏捷右移實踐思想的重要落地抓手，重點從保護基礎設施轉(zhuǎn)向保護工作負載和在這些工作負載上運行的應用程序，可在統(tǒng)一平臺中執(zhí)行所有這些功能，幫助消除DevSecOps流程中的摩擦。

卓越層：CARTA

作為DevSecOps敏捷安全技術(shù)實踐的最高層，也是DevSecOps敏捷安全體系建設的終極愿景，連續(xù)三年被CARTA占據(jù)。CARTA（Continuous Adaptive Risk and Trust Assessment，自適應風險與信任評估）從規(guī)劃、構(gòu)建、運營三個維度動態(tài)評估企業(yè)的數(shù)字化業(yè)務在整個軟件全生命周期中面臨的風險和信任，不追求零風險，不要求100%信任，持續(xù)構(gòu)建一個信任和彈性的研運一體化安全環(huán)境，使得企業(yè)組織能夠敏捷地、和業(yè)務共生地、持續(xù)進化地參與到軟件供應鏈安全建設和保障中去。

圖4 CARTA自適應風險與信任評估框架

子芽重點提到，網(wǎng)絡安全的本質(zhì)是風險和信任的動態(tài)平衡。DevSecOps不是安全開發(fā)和安全運營的簡單結(jié)合，安全開發(fā)的終點也不能簡單歸結(jié)為漏洞處置，安全運營的終點亦不能簡單歸結(jié)為威脅響應，而是應以終（漏洞處置和威脅響應）為始，回歸應用和體系，以人為本，結(jié)合智能自動化技術(shù)實現(xiàn)共生、敏捷、進化的安全新局面，形成真正意義上的應用全生命周期持續(xù)安全大循環(huán)，這才是DevSecOps敏捷安全體系建設的終極愿景，也正是DevSecOps莫比烏斯環(huán)所真正象征的意義。

DevSecOps敏捷安全技術(shù)如何落地？

最后，子芽分享了DevSecOps在落地過程中的輕量級應用實踐指南。輕量級是指該指南不是簡單面向DevSecOps敏捷安全技術(shù)金字塔所囊括的所有技術(shù)，力求能結(jié)合企業(yè)自身安全體系建設現(xiàn)狀在短中期內(nèi)達到一定的實踐效果，幫助企業(yè)用戶逐步構(gòu)筑一套適應自身業(yè)務彈性發(fā)展、面向敏捷業(yè)務交付并引領(lǐng)未來架構(gòu)演進的安全開發(fā)運營共生體系，兼顧文化、流程、技術(shù)演進和持續(xù)度量。

圖5DevSecOps輕量級應用實踐指南

DevSecOps敏捷安全技術(shù)金字塔V3.0的發(fā)布，又一次刷新了行業(yè)力量對軟件供應鏈安全體系建設的新認知，全方位、系統(tǒng)性、深層次地把脈了DevSecOps敏捷安全技術(shù)的未來演進趨勢、軟件供應鏈安全領(lǐng)域技術(shù)創(chuàng)新研究和落地實踐的進化方向，更以實際行動推動安全產(chǎn)業(yè)生態(tài)共建、共治、共享，傳遞和初步踐行了DSO敏捷安全大會“敏捷共生，守護中國軟件供應鏈安全”的使命。