官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
7月27日,由中国信通院、中国通信标准化协会联合主办的2021年可信云大会在京召开。作为云计算领域最具权威性的行业会议,本年度的可信云大会发布了数十项云计算领域的评估结果以及一系列行业标准。
其中,围绕研发运营安全主题,中国信通院联合十余家云计算、安全厂商制定了《面向云计算的研发运营安全工具能力要求 第2部分:静态应用程序安全测试工具》、《面向云计算的研发运营安全工具能力要求 第3部分:交互式应用程序安全测试工具》系列行业标准,在本次大会上正式发布。腾讯安全是标准起草单位之一。
01聚焦软件安全,研发运营安全工具系列标准发布
伴随着5G、云计算、人工智能、大数据等技术日新月异,数字化转型进程逐步推进,软件应用服务已成为主流形态然而软件安全也愈发成为业界关注的焦点。近年来,安全事件频发,小到企业安危、个人隐私泄露,大到国家安全,究其根本,多是软件应用服务自身存在安全漏洞。传统研发运营模式中,研发与安全割裂造成安全影响研发效率,是导致安全事件发生的主要原因。
在此背景下,由中国信息通信研究院牵头,联合腾讯安全等十余家单位共同制定的《面向云计算的研发运营安全工具能力要求 第2部分:静态应用程序安全测试工具》、《面向云计算的研发运营安全工具能力要求 第3部分:交互式应用程序安全测试工具》系列行业标准于本次2021可信云大会中发布,深度聚焦软件安全领域,通过研发运营安全工具系列标准的制定,将自动化安全工具、设备融入软件应用服务的全生命周期,适应当前的开发模式,规范研发运营安全。
目前可信研发运营安全系列评估包含三大部分,可信研发运营安全能力成熟度评估、静态应用程序安全测试工具能力评估(SAST) 及 交互式应用程序安全测试工具能力评估(IAST)。可信研发运营安全能力成熟度评估主要关注研发安全,从九个阶段对企业的研发运营安全能力从全生命周期维度进行管理制度及软件应用服务全生命周期要求阶段的评估,在本次大会上进行了评估成果的展示。
对于用户层面的补齐,此次发布最新的静态应用程序安全测试工具能力评估及交互式应用程序安全测试工具能力评估,则从用户视角出发,针对安全工具能力及性能进行评估,帮助用户进行选型参考,具体能力涵盖扫描检测分析能力要求、灵活性能力要求、分析辅助能力要求、开发流程嵌入能力要求、扩展性能力要求、兼容性能力要求、部署能力要求、安全性能力要求、服务支持能力要求九大部分,全面完善了研发运营安全体系的建设。
02结合多年研发流程标准化经验,助力行业研发运营安全体系标准建设
腾讯云多年来致力于自身研发体系的标准化和DevSecOps的落地,目前已形成一套完整的研发运营安全解决方案。在云产品安全维度,基于腾讯云的研发运维模式,腾讯安全云鼎实验室建立了DevSecOps模型并落地实践,基于一站式DevOps平台与流程,在项目协同、编码、代码管理与分析、自动化测试、持续集成、配置管理、环境管理、制品管理、持续部署、持续运维几个部分嵌入安全活动。
此外,腾讯云通过安全工具链建立安全门禁,实现安全度量,从不同阶段和维度收敛安全风险,并实现部分场景的默认安全,以此来实现腾讯云产品的出厂安全,保证云服务的安全可靠性。基于自身多年云服务研发体系的建设经验,腾讯安全云鼎实验室参与了此次运营安全工具系列标准的起草,向行业输送了大量实践经验,助力行业安全水平的提升。