漏洞层出不穷?默安云舒建议:引入DevSecOps理念
在近日召开的“2017中国双态运维大会”上,默安科技CTO云舒就当前高危漏洞逐年攀升的现状和原因进行了分析,并就DevSecOps在软件生命周期的作用进行了分享,同时绍了默安科技基于DevSecOps安全理念的解决方案“雳鉴”。
漏洞层出不穷?默安云舒建议:引入DevSecOps理念
他表示,DevSecOps解决方案帮助软件在上线前消除代码等安全问题,将web应用安全问题前置到研发流程中,解决99%的高危漏洞,更好地优化整个安全流程,降低安全成本及安全风险。
高危漏洞在软件开发周期中就存在了。
2016年2月,黑客利用云计算平台攻击淘宝的9900万账户,使用第三方数据撞库成功2059万;2016年10月,绵阳警方破获“5·26侵犯公民个人信息案”,查获公民银行个人信息257万条;2016年12月,京东12G的数据包在黑市上开始流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个项目,数据多达数千万条....一系列的信息泄露及安全问题多是基于漏洞。国家信息安全漏洞共享平台(CNVD)最新数据显示,2012年至2016年,CNVD共收录了42743个漏洞,其中高危漏洞数量为14495,漏洞数量每年呈高速增长态势。
这些漏洞来自于哪里?根据Gartner调查显示,75%的安全漏洞已发生在应用程序层;NIST数据显示,92%已知的安全漏洞存在于应用程序中;以偶此可见,程序和软件已经成为漏洞爆发的主要平台。
可以说,只要代码编程是人为的就一定有漏洞,漏洞虽不能杜绝却可以降低且提前发现修复。但是,这个需要看时间段。如果漏洞是在软件运行一段时间发现,给用户和客户带来经济损失,给软件提供商带来声誉风险和压力;如果在研发测试阶段发现,则能够将漏洞消除在萌芽状态。总之,漏洞发现得越晚,修复代价越高。
软件企业如何做到漏洞的提前发现和修复?
如何防范软件应用带病上线,最大限度降低漏洞的产生呢?
默安科技CTO云舒表示,在SDL(安全开发生命周期)引入DevOps安全理念,从源头上做好安全管控,能够最大限度防止范漏洞的发生。“提供简单易用的SaaS的安全产品,制定标准,更好的优化整个安全流程,软件流程中的每个人一起去执行安全细节、安全工作”。
他将DevSecOps安全理念具体执行归结为四点: 人人为自己工作的安全负责;安全工具简单到人人可用,不误报,处理结果明确,每一个告警都能产生下一步动作;通过WEB API嵌入发布流程,自动化;研发期、发布期、运营期,多产品协同解决不误报带来的漏报问题等。
漏洞层出不穷?默安云舒建议:引入DevSecOps理念
据了解,默安科技推出的“雳鉴”就是一款基于DevSecOps周期的解决方案产品。作为一款人人都能进行安全测试的漏洞检测平台,“雳鉴”在上线前消除代码等安全问题,解决99%的高危漏洞,能将web应用安全问题前置到研发流程中解决,降低成本,提高效率。它利用网关代理和快速诊断技术实现全面、快速漏洞扫描,通过弹性私有云部署模式建立一站式服务解决方案,对项目安全进行高度可视化、可持续化管理。
“雳鉴”同时是Gartner 2017年十大顶级信息安全技术实践产品之一。
“2017中国双态运维大会”由双态运维联盟主办,会议围绕旨在双态IT环境下,为企业IT运维升级转型提供方法指导及最佳实践参考,避免"新技术烟囱"断崖式转型失败,实现IT运维管理平台的最大化,更好的促进ITSM、云资源、DevOps开发管理平台和运维自动化平台间的关系,推动厂商间双态技术研究合作;同时为企业与工具厂商提供交流学习分享的平台。本次会议模式采用"1+7"的形式,1场全体大会,7场深度研讨的专场交流会议,涵盖数据中心运营、云计算、运维大数据、金融创新、双态运维、DevOps等话题。