懸鏡攜手中信建投獲選信通院最佳實(shí)踐案例

摘要： 中信建投證券股份有限公司和懸鏡安全聯(lián)合申報(bào)的“中信建投在DevOps敏捷開發(fā)過程中的安全實(shí)踐”成功入選在會(huì)上重磅發(fā)布的《中國(guó)DevOps現(xiàn)狀調(diào)查報(bào)告（2022）》安全及風(fēng)險(xiǎn)管理領(lǐng)域的最

中國(guó)信息通信研究院主辦的“2022 首屆XOps產(chǎn)業(yè)生態(tài)峰會(huì)”于 2022年7月28日成功召開。中信建投證券股份有限公司和懸鏡安全聯(lián)合申報(bào)的“中信建投在DevOps敏捷開發(fā)過程中的安全實(shí)踐”成功入選在會(huì)上重磅發(fā)布的《中國(guó)DevOps現(xiàn)狀調(diào)查報(bào)告（2022）》安全及風(fēng)險(xiǎn)管理領(lǐng)域的最佳實(shí)踐案例。

中國(guó)DevOps現(xiàn)狀調(diào)查報(bào)告（2022）
最佳實(shí)踐案例
中信建投證券股份有限公司 懸鏡安全

背景和意義
 
近年來，信息與通信技術(shù)在證券行業(yè)得到廣泛應(yīng)用，然而隨著DevOps開發(fā)模式成為趨勢(shì)，傳統(tǒng)的安全措施已無法跟上敏捷開發(fā)、快速迭代的步伐，傳統(tǒng)的安全測(cè)試也無法滿足由網(wǎng)絡(luò)技術(shù)發(fā)展帶來的各項(xiàng)威脅。
同時(shí)，證券期貨行業(yè)信息安全保障協(xié)調(diào)小組、中國(guó)證監(jiān)會(huì)信息中心等機(jī)構(gòu)包括國(guó)家機(jī)構(gòu)在內(nèi)對(duì)證券行業(yè)提出了網(wǎng)絡(luò)信息安全的要求并出臺(tái)有關(guān)辦法，落實(shí)安全事故處理、監(jiān)管與主體責(zé)任。
基于此，中信建投證券有限公司（以下簡(jiǎn)稱“中信建投”）通過引入懸鏡靈脈IAST灰盒安全測(cè)試平臺(tái)（以下簡(jiǎn)稱“靈脈IAST”），結(jié)合自身現(xiàn)有的自動(dòng)化安全工具鏈，構(gòu)建了一套完善的DevSecOps敏捷安全管理體系，使得安全能力在整個(gè)業(yè)務(wù)生命周期中前置左移，提高應(yīng)用層的威脅發(fā)現(xiàn)能力，同時(shí)將信息安全管理工作透明、無感知地介入到DevOps流程中，建立統(tǒng)一的自動(dòng)化檢測(cè)流程。
 
難點(diǎn)和問題

構(gòu)建整個(gè)DevSecOps敏捷安全管理體系，主要目的是解決如下四個(gè)難點(diǎn)和問題：
1.安全介入時(shí)間太靠后，以往的安全測(cè)試僅限于上線前進(jìn)行防護(hù)或開展上線后的運(yùn)營(yíng)工作，已逐漸無法應(yīng)對(duì)由網(wǎng)絡(luò)技術(shù)發(fā)展帶來的各項(xiàng)威脅。
2.傳統(tǒng)應(yīng)用安全測(cè)試過程中存在重放數(shù)據(jù)包產(chǎn)生的臟數(shù)據(jù)問題，極大地影響了開發(fā)效率。
3.傳統(tǒng)應(yīng)用安全測(cè)試工具難以整合到DevOps流水線中，開發(fā)流程與測(cè)試流程仍處于割裂狀態(tài)，無法實(shí)現(xiàn)軟件產(chǎn)品的快速迭代、持續(xù)交付。
 
4.傳統(tǒng)的安全管理體系無法適應(yīng)DevOps開發(fā)模式下的敏捷開發(fā)、持續(xù)交付，無法及時(shí)形成安全管理閉環(huán)。
 
建設(shè)方案

中信建投結(jié)合自身業(yè)務(wù)需求和現(xiàn)狀，以DevOps平臺(tái)為基礎(chǔ)平臺(tái)，將安全管理介入開發(fā)管理的整個(gè)過程，并形成DevSecOps落地的整體規(guī)劃和指導(dǎo)方法。從管理要求、檢查手段、管控手段方面進(jìn)行規(guī)劃和建設(shè)，并關(guān)注運(yùn)營(yíng)效果，設(shè)立度量指標(biāo)，持續(xù)驅(qū)動(dòng)DevSecOps敏捷安全體系不斷改善。
 

圖1 中信建投DevSecOps落地實(shí)踐規(guī)劃圖

 

中信建投通過維護(hù)一套安全能力&工具鏈建設(shè)全景圖，可直觀展示各項(xiàng)實(shí)踐工作的落地情況。全景圖將DevSecOps分為七個(gè)階段，分別是需求設(shè)計(jì)階段、編碼階段、編譯構(gòu)建階段、測(cè)試階段、預(yù)發(fā)布階段、發(fā)布階段、線上運(yùn)維階段。每個(gè)階段對(duì)應(yīng)相應(yīng)的安全能力和需要利用的安全工具。以完整的流程階段指導(dǎo)軟件安全開發(fā)的正常進(jìn)行，朝著預(yù)想的目標(biāo)邁進(jìn)。

 

圖2 DevOps敏捷安全平臺(tái)圖
 

 
1. 需求設(shè)計(jì)階段
需要明確被分析項(xiàng)目的類別、安全管控級(jí)別，結(jié)合安全威脅庫(kù)、安全需求庫(kù)、項(xiàng)目合規(guī)要求，參考STRIDE進(jìn)行威脅建模。
2. 編碼和編譯構(gòu)建階段
基于安全編碼知識(shí)庫(kù)，使用安全組件及安全SDK進(jìn)行安全編碼，可采用白盒掃描工具進(jìn)行IDE安全插件、CI自動(dòng)化掃描等，并出具檢測(cè)報(bào)告，對(duì)開發(fā)環(huán)境進(jìn)行安全性檢測(cè)。應(yīng)格外注意引入的開源組件的安全性，可以基于SCA技術(shù)對(duì)第三方開源組件進(jìn)行安全掃描，重點(diǎn)關(guān)注源倉(cāng)庫(kù)掃描、制品庫(kù)掃描。
3. 測(cè)試階段
重點(diǎn)是借助于DAST的Web應(yīng)用全掃描技術(shù)和IAST交互式應(yīng)用安全掃描技術(shù)對(duì)開發(fā)測(cè)試階段的代碼進(jìn)行掃描，借助滲透測(cè)試模擬黑客攻擊的方式，對(duì)應(yīng)用進(jìn)行全方位的入侵滲透測(cè)試，來評(píng)估業(yè)務(wù)系統(tǒng)的安全性。在該階段引入靈脈IAST，針對(duì)藍(lán)鯨DevOps平臺(tái)定制開發(fā)了插件并嵌入到其流水線中。在現(xiàn)有DevOps流程下調(diào)用該插件，實(shí)現(xiàn)兩個(gè)平臺(tái)之間的項(xiàng)目基礎(chǔ)數(shù)據(jù)傳輸。通過利用靈脈IAST，測(cè)試和研發(fā)人員可以直觀地看到測(cè)試結(jié)果，在發(fā)現(xiàn)被測(cè)系統(tǒng)BUG的同時(shí)發(fā)現(xiàn)存在的安全漏洞，進(jìn)而，開發(fā)人員可進(jìn)行功能與安全的同步修復(fù)。
4. 上線前預(yù)發(fā)布和發(fā)布階段
重點(diǎn)在于安全集成評(píng)估，生產(chǎn)環(huán)境部署驗(yàn)證可以考慮安全基線、安全套件檢測(cè)。上線審批時(shí)，應(yīng)進(jìn)行剩余風(fēng)險(xiǎn)評(píng)估與接受分析，對(duì)風(fēng)險(xiǎn)等級(jí)進(jìn)行評(píng)定，對(duì)風(fēng)險(xiǎn)接受策略進(jìn)行制定。
5. 上線運(yùn)維階段
應(yīng)制定實(shí)時(shí)應(yīng)急響應(yīng)機(jī)制，同時(shí)可以采用RASP技術(shù)進(jìn)行運(yùn)行時(shí)防護(hù)。
 

圖3 安全能力&工具鏈建設(shè)全景圖

 

實(shí)踐成效

1. 將Sec引入DevOps的體系管理
通過DevSecOps敏捷安全工具鏈的集成，實(shí)現(xiàn)了將安全引入現(xiàn)有的DevOps流程與平臺(tái)中，通過工具+技術(shù)手段將讓安全屬性嵌入到整條CI/CD流水線。
2. 全面降低漏洞風(fēng)險(xiǎn)，實(shí)現(xiàn)閉環(huán)漏洞管理
通過DevSecOps敏捷安全體系的建設(shè)，將應(yīng)用威脅發(fā)現(xiàn)能力前置到開發(fā)測(cè)試環(huán)節(jié)，深度發(fā)現(xiàn)與挖掘漏洞，有效覆蓋95%以上中高危漏洞，滿足證券金融證券行業(yè)的安全保護(hù)需求，保障客戶金融安全。
3. 統(tǒng)一上線安全評(píng)審和檢測(cè)流程
通過對(duì)接DevSecOps應(yīng)用安全檢測(cè)工具插件，DevOps平臺(tái)能對(duì)應(yīng)用進(jìn)行風(fēng)險(xiǎn)掃描，并匹配安全測(cè)試，按照質(zhì)量門禁進(jìn)行卡點(diǎn)，保證應(yīng)用上線時(shí)滿足安全基線的要求。
4. 滿足證券行業(yè)政策法令監(jiān)管要求
通過DevSecOps敏捷安全體系的建設(shè)，實(shí)現(xiàn)了持續(xù)性合規(guī)應(yīng)對(duì)能力，將行業(yè)政策要求與業(yè)務(wù)需求結(jié)合落地，符合相關(guān)監(jiān)管文件的要求。
 

 詳情請(qǐng)關(guān)注安在新媒體—人物、熱點(diǎn)、互動(dòng)、傳播，有內(nèi)涵的信息安全新媒體。