2022年12月13日-14日,由中关村金融科技产业发展联盟、中关村互联网金融研究院、中国互联网金融三十人论坛主办的“2023第十届中关村金融科技论坛年会暨2022‘光大杯’中关村番钛客金融科技国际创新大赛颁奖典礼”在“云端”举办。论坛年会为期两天,包含主题演讲、圆桌对话,发布优秀案例、金融科技与数字普惠报告、《web3.0》图书、中关村金融科技30强、金融科技竞争力报告等多个重要板块。50余位行业专家齐聚一堂,共谋金融科技领域的前沿热点,共克时艰、共话未来!
(相关资料图)
比瓴科技创始人兼CEO付杰在13日软件供应链安全专题论坛发表题为:构建持续高可运营的软件安全体系演讲。他指出:近年来,DevSecOps及SDLC成为金融行业的热点话题,银行、证券、保险、基金行业的众多企业均在陆续建设、完善、迭代自己的软件安全开发体系。尽管DevSecOps的理念已经被广泛接受,但是金融机构的实践过程却面临诸多困难。为帮助金融企业快速构建DevSecOp体系,提升软件安全开发技术水平及运营效率,比瓴科技在2022年推出了CAS持续应用安全平台,完整体现了统一平台、自动编排、统一数据中心这三个核心理念。CAS的核心理念是构建一套高可运营的软件安全开发体系,一方面赋予企业以自定义的方式灵活开展软件安全活动,另一方面大幅度降低软件安全建设成本,运营成本及安全人才依赖,让DevsecOps的理念可以在企业真正被实践及大范围应用。
发言内容 (以下内容根据现场速记整理)
一、DevSecOps在金融机构实践现状及痛点
近年,DevSecOps(开发、安全和运营)及SDLC(系统开发生命周期)成为金融行业的热点话题,银行、证券、保险、基金行业的众多企业均在陆续建设、完善、迭代自己的软件安全开发体系。通过建立面向软件开发过程的安全体系,构建安全左移能力,将安全合规检测嵌入到系统开发和整体安全中,在业务敏捷的前提下持续保障应用安全成为金融行业的普遍共识。
尽管DevSecOps的理念已经被广泛接受,但是金融机构的实践过程却面临诸多困难,归纳起来可总结为以下几点:一是体系建设周期长,迟迟不能在实际软件开发项目中被大规模应用;体系建设所消耗的人力大,无论是开发部门,还是安全部门,都因资源问题导致项目内部推行困难;研发对于改变现有工作流程及习惯排斥;安全成果难以量化,更难以持续优化。
金融机构在应用过程中的挑战及背后深层次原因可总结为:安全工具碎片化,工具缺乏整合及统一管理;安全活动线下化,安全活动的开展大幅度依靠线下流程及人员协同;自动处置能力缺乏,安全管理,安全分析及安全处置等工作大幅度依靠专家经验及专业人才;安全数据分散且缺乏统一分析,更未形成基于数据的度量、决策及持续反馈优化能力。以上能力的缺失,都极大降低了企业DevSecOps的运营效率,也妨碍了科技企业在软件开发团队大范围推广Devsecops体系。
通过对国内外领先企业成功经验的分析,一套高可运营软件安全开发体系普遍具备以下特性。基于统一安全平台,实现对人,项目,技术的拉通管理;利用ASOC技术,实现对安全工具的自动调度;构建企业统一安全数据中心,实现对安全数据的汇总,关联分析及智能决策。
二、比瓴科技CAS持续应用安全平台
(一)CAS平台简介
为了帮助金融企业快速构建DevSecOp体系,提升软件安全开发技术水平及运营效率,比瓴在2022年推出了CAS持续应用安全平台,完整体现了统一平台、自动编排、统一数据中心这三个核心理念。CAS提供了以自动化安全剧本为入口及使用方式,统一安全数据中心为决策依据,多类型安全扫描工具为手段的一体化安全能力平台,同时实现了与当前主流软件开发工具链的完美兼容耦合。
基于CAS平台,企业不仅可以直接获得多维度的软件安全扫描能力,更加可以搭建起一套高效率软件安全运营体系,在不干扰原有研发流程的前提下,把安全活动自动嵌入工程师熟悉的CI/CD工具链。
(二)CAS平台关键安全能力
在软件开发的需求阶段,CAS平台内置了一套完整的的软件安全开发知识库,覆盖了主流应用开发技术栈、业务场景、监管要求及安全技术规范。软件开发团队中的需求分析人员,可通过问答引擎的方式,完成对软件业务场景的业务上下文分析及攻击面分析,进而实现自动化、轻量化的业务威胁建模。CAS平台会基于威胁建模结果,精准输出对应的应用开发安全需求、安全设计及安全测试指引,帮助软件开发团队在早期阶段即识别安全风险及合规要求,降低残留到测试环节的安全风险数量。
面向软件开发过程中的安全管理、安全处置、安全响应要求,平台提供了海量安全处置剧本模版。安全剧本把原本由人开展的运营活动,抽象为自动处置流程,实现自动触发、自动扫描、自动分析及自动决策。用户即可直接使用平台内置剧本,也可基于企业实际情况修改或重新编辑安全剧本。基于安全剧本带来的自动化安全运营能力,企业可降低60%以上的整体人力及85%以上的安全管理投入,平台仅在必要环节才会以消息通知、人工审核等方式要求人工介入。
CAS通过安全剧本的方式,实现了开发过程的安全活动自动化。为了达成这一点,平台对软件开发过程中涉及的开发工具、安全工具、协作管理工具实现了资源抽象及能力封装,用户可通过简单的资源实例化即可使用,避免的耗时复杂的对接整合工作,做到了资源可见即可用。
除了安全开发知识库及自动化运营,CAS平台内置多维度,多类型软件安全扫描引擎,从扫描能力上,CAS覆盖了代码、开源代码、容器、IaC云原生应用四层架构,从扫描阶段上,CAS覆盖了代码引入,代码构建,代码发布环节,实现了软件供应链全链条覆盖。除了平台内置的安全扫描能力,企业也可以利用平台自动接入企业已有的第三方扫描工具,并利用平台提供的ASOC技术,实现统一编排调度及结果分析。
CAS平台提供的开箱即可用能力及持续运营属性,也在改变企业的DevsecOps建设模式。相比起原来先单点工具堆叠,后平台集成的模式,CAS让企业可以在第一时间即拥有一套完整的安全体系,并快速在企业内大范围使用。基于平台提供的高可拓展性,企业可在后续持续性迭代单点工具能力,无论是引入新的安全工具,还是替代原有工具,这一切都可以在保持原有运营模式的情况下无感知执行。
(三)CAS平台应用场景
CAS平台从发布至今,已经在多个大型金融机构成功落地,帮助数以千计的软件开发团队改变原有的安全运营模式。
第一个场景是日常软件迭代开发,这也是最为普遍的场景。当前企业在软件开发上,既有传统的稳态模式,也有敏态及混合模式。CAS平台内置了与不同开发模式高度契合的安全剧本,在达成安全左移及生命周期安全管理的同时,差异化实施安全活动、扫描策略及门禁策略,让安全与业务保持同一速度。以经典SDL安全开发剧本为例,剧本通过API的方式被启用,可在代码提交、版本构建的时候实施多维度安全扫描,针对不同节点,剧本会选择不同的扫描工具及扫描策略,同时基于扫描结果实施差异化门禁策略。除了由平台自动处置部分,针对需要人工介入的工作,平台会以邮件、JIRA任务、企业微信等方式通知相关人员,同步信息,协同工作。
第二个场景是开源漏洞响应。软件供应链安全及开源治理是当前金融机构关注的热点,在过去2年中也发生了多起因开源组件漏洞导致的安全事件。开源风险防范及需要企业具备对应的安全技术,如SCA,也需要一套高效、完整的处置方法。大部分的金融机构都不缺乏针对开源漏洞的扫描能力,但是在开源漏洞的处置方式上侧较为低效。借助于CAS提供的开源漏洞处置剧本,平台可实时监听开源漏洞情报,当特定类型或等级的开源漏洞发生时,平台首先会调用SCA工具,对企业制品库、代码仓库进行扫描,并基于扫描结果在制品库、代码仓库、流水线设定安全门禁,做到实时发现及实时封禁。同时,平台会对当前企业的开源风险处置过程及现状做统一数据展示,做到企业整体风险可视化。
第三个场景是关于外发软件中的敏感信息检查。外发代码不仅仅是软件企业的特有场景。这里面即包含了因为代码泄漏,也包含了因为业务需要而展开的对外合作,开发SDK及APP发布。这些对外发布的代码中,可能包含了一些不希望对外披露的敏感信息,而敏感信息及可能存在于代码中,也可能存在于配置文件,日志文件等软件工程文件中。
CAS平台内置了针对软件外发场景的敏感信息检查剧本,可在代码提交,代码构建及软件发布环节,针对源代码、配置文件、日志文件、基础设置配置等信息做检查,发现隐藏在软件工程中的硬编码密码,服务器账号密码,token, session, 令牌,证书,硬编码交易参数等敏感信息,杜绝因软件外发导致的敏感信息泄漏及数据泄漏风险。
除了上面介绍的三个典型场景,CAS还提供数十类安全场景剧本,包括:周期性安全审计、例行代码扫描、开源组件引入管理、周期性安全报告等。
CAS平台帮助构建了一套泛可运营的软件安全能力,在这套运营体系下,安全团队专注于设计更多适应企业实际管理需要的安全剧本,开发团队专注于业务达成,而安全则以自动化的方式被透明执行,这也是CAS平台的核心理念及价值主张。