漏洞层出不穷？默安云舒建议：引入DevSecOps理念

在近日召开的“2017中国双态运维大会”上，默安科技CTO云舒就当前高危漏洞逐年攀升的现状和原因进行了分析，并就DevSecOps在软件生命周期的作用进行了分享，同时绍了默安科技基于DevSecOps安全理念的解决方案“雳鉴”。

他表示，DevSecOps解决方案帮助软件在上线前消除代码等安全问题，将web应用安全问题前置到研发流程中，解决99%的高危漏洞，更好地优化整个安全流程，降低安全成本及安全风险。

高危漏洞在软件开发周期中就存在了。

2016年2月，黑客利用云计算平台攻击淘宝的9900万账户，使用第三方数据撞库成功2059万;2016年10月，绵阳警方破获“5·26侵犯公民个人信息案”，查获公民银行个人信息257万条;2016年12月，京东12G的数据包在黑市上开始流通，其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个项目，数据多达数千万条....一系列的信息泄露及安全问题多是基于漏洞。国家信息安全漏洞共享平台(CNVD)最新数据显示，2012年至2016年，CNVD共收录了42743个漏洞，其中高危漏洞数量为14495，漏洞数量每年呈高速增长态势。

这些漏洞来自于哪里?根据Gartner调查显示，75%的安全漏洞已发生在应用程序层;NIST数据显示，92%已知的安全漏洞存在于应用程序中;以偶此可见，程序和软件已经成为漏洞爆发的主要平台。

可以说，只要代码编程是人为的就一定有漏洞，漏洞虽不能杜绝却可以降低且提前发现修复。但是，这个需要看时间段。如果漏洞是在软件运行一段时间发现，给用户和客户带来经济损失，给软件提供商带来声誉风险和压力;如果在研发测试阶段发现，则能够将漏洞消除在萌芽状态。总之，漏洞发现得越晚，修复代价越高。

软件企业如何做到漏洞的提前发现和修复?

如何防范软件应用带病上线，最大限度降低漏洞的产生呢?

默安科技CTO云舒表示，在SDL(安全开发生命周期)引入DevOps安全理念，从源头上做好安全管控，能够最大限度防止范漏洞的发生。“提供简单易用的SaaS的安全产品，制定标准，更好的优化整个安全流程，软件流程中的每个人一起去执行安全细节、安全工作”。

他将DevSecOps安全理念具体执行归结为四点：人人为自己工作的安全负责;安全工具简单到人人可用，不误报，处理结果明确，每一个告警都能产生下一步动作;通过WEB API嵌入发布流程，自动化;研发期、发布期、运营期，多产品协同解决不误报带来的漏报问题等。

漏洞层出不穷？默安云舒建议：引入DevSecOps理念

据了解，默安科技推出的“雳鉴”就是一款基于DevSecOps周期的解决方案产品。作为一款人人都能进行安全测试的漏洞检测平台，“雳鉴”在上线前消除代码等安全问题，解决99%的高危漏洞，能将web应用安全问题前置到研发流程中解决，降低成本，提高效率。它利用网关代理和快速诊断技术实现全面、快速漏洞扫描，通过弹性私有云部署模式建立一站式服务解决方案，对项目安全进行高度可视化、可持续化管理。

“雳鉴”同时是Gartner 2017年十大顶级信息安全技术实践产品之一。

“2017中国双态运维大会”由双态运维联盟主办，会议围绕旨在双态IT环境下，为企业IT运维升级转型提供方法指导及最佳实践参考，避免"新技术烟囱"断崖式转型失败，实现IT运维管理平台的最大化，更好的促进ITSM、云资源、DevOps开发管理平台和运维自动化平台间的关系，推动厂商间双态技术研究合作;同时为企业与工具厂商提供交流学习分享的平台。本次会议模式采用"1+7"的形式，1场全体大会，7场深度研讨的专场交流会议，涵盖数据中心运营、云计算、运维大数据、金融创新、双态运维、DevOps等话题。