研发运营安全白皮书（2020年）

研发运营安全白皮书 （2020年） 云计算开源产业联盟 OpenSource Cloud Alliance for industry，OSCAR 2020年7月 版权声明 本白皮书版权属于云计算开源产业联盟，并受法律保护。转载、摘编或利用其它方式使用本调查报告文字或者观点的，应注明“来源：云计算开源产业联盟”。违反上述声明者，本联盟将追究其相关法律责任。 前 言 近年来，安全事件频发，究其原因，软件应用服务自身存在代码安全漏洞，被黑客利用攻击是导致安全事件发生的关键因素之一。随着信息化的发展，软件应用服务正在潜移默化的改变着生活的各个方面，渗透到各个行业和领域，其自身安全问题也愈发成为业界关注的焦点。传统研发运营模式之中，安全介入通常是在应用系统构建完成或功能模块搭建完成之后，位置相对滞后，无法完全覆盖研发阶段的安全问题。在此背景下，搭建整体的研发运营安全体系，强调安全左移，覆盖软件应用服务全生命周期安全，构建可信理念是至关重要的。 本白皮书首先对于研发运营安全进行了概述，梳理了全球研发运营安全现状，随后对于信通院牵头搭建的研发运营安全体系进行了说明，归纳了研发运营安全所涉及的关键技术。最后，结合当前现状总结了研发运营安全未来的发展趋势，并分享了企业组织研发运营安全优秀实践案例以供参考。 参与编写单位 中国信息通信研究院、华为技术有限公司、深圳市腾讯计算机系统有限公司、阿里云计算有限公司、浪潮云信息技术股份公司、京东云计算（北京）有限公司、北京金山云网络技术有限公司、深圳华大生命科学研究院、奇安信科技集团股份有限公司、杭州默安科技有限公司、新思科技（上海）有限公司 主要撰稿人 吴江伟、栗蔚、郭雪、耿涛、康雪婷、徐毅、章可镌、沈栋、郭铁涛、张祖优、马松松、黄超、伍振亮、祁景昭、朱勇、贺进、宋文娣、张娜、蔡国瑜、张鹏程、张玉良、董国伟、周继玲、杨国梁、肖率武、薛植元 目 录 一、研发运营安全概述 ................................................................................................................... 1 （一）研发层面安全影响深远，安全左移势在必行 ........................................................... 1 （二）覆盖软件应用服务全生命周期的研发运营安全体系 ............................................... 4 二、研发运营安全发展现状 ........................................................................................................... 5 （一）全球研发运营安全市场持续扩大 ............................................................................... 5 （二）国家及区域性国际组织统筹规划研发运营安全问题 ............................................... 7 （三）国际标准组织及第三方非盈利组织积极推进研发运营安全共识 ......................... 12 （四）企业积极探索研发运营安全实践 ............................................................................. 14 （五）开发模式逐步向敏捷化发展，研发运营安全体系随之向敏捷化演进 ................. 19 三、研发运营安全关键要素 ......................................................................................................... 21 （一）覆盖软件应用服务全生命周期的研发运营安全体系 ............................................. 22 （二）研发运营安全解决方案同步发展 ............................................................................. 31 四、研发运营安全发展趋势展望 ................................................................................................. 41 附录：研发运营安全优秀实践案例 ............................................................................................. 43 （一）华为云可信研发运营案例 ......................................................................................... 43 （二）腾讯研发运营安全实践 ............................................................................................. 50 （三）国家基因库生命大数据平台研发运营安全案例 ..................................................... 58 图 目 录 图 1 Forrester 外部攻击对象统计数据 ........................................... 2 图 2 研发运营各阶段代码漏洞修复成本 ........................................... 3 图 3 研发运营安全体系 ........................................................ 4 图 4 Cisco SDL 体系框架图 .................................................... 16 图 5 VMware SDL 体系框架图 ................................................... 17 图 6 微软 SDL 流程体系 ....................................................... 20 图 7 DevSecOps 体系框架图 .................................................... 21 图 8 研发运营安全解决方案