傳統研發運營模式中，安全位置相對滯后，無法覆蓋研發階段的安全問題。

　　日前，《研發運營安全白皮書(2020年)》(以下簡稱“白皮書”)在中國信息通信研究院、中國通信標準化協會聯合主辦的可信云線上峰會上正式發布。該白皮書是由中國信息通信研究院牽頭，聯合騰訊、華為、阿里、京東等諸多知名企業共同編制的，旨在用系統化、流程化方法梳理軟件應用服務研發運營全生命周期安全及發展趨勢，幫助從業者提升對軟件應用服務研發運營安全的理解。

　　安全左移，構成新型研發運營安全體系的最初一步

　　白皮書中指出，近年來安全事件頻發的主要原因，就是軟件應用服務自身存在的代碼安全漏洞被黑客利用攻擊。根據Verizon 、Forrester 以及Gartner 等全球知名機構、咨詢公司所統計發布的研究數據來看，由程序中的代碼安全漏洞以及權限設置機制等原因引發的Web應用程序威脅漏洞和因代碼應用層存在安全漏洞，是外部攻擊和數據泄露等安全事件發生的主要原因。

　　在軟件應用服務已經滲透至各行業領域中的當下，傳統研發運營安全模式屬于被動防御性手段，以防病毒、防火墻等為代表的安全功能關注的都是交付運行之后的安全問題，相對滯后的安全手段無法覆蓋研發階段代碼層面的安全，其安全測試范圍相對有限，且安全漏洞修復成本也更大。

　　白皮書認為，如果要解決代碼所導致的安全問題，就需要考慮將安全左移，從而搭建覆蓋軟件應用服務全生命周期的、新型研發運營安全體系。

　　此外，白皮書還對新型研發運營安全體系的四大特點和七大環節進行了詳細介紹，其中四大特點包括：

　　1. 覆蓋范圍更廣，延伸至下線停用階段，覆蓋軟件應用服務全生命周期;

　　2. 更具普適性，抽取關鍵要素，不依托于任何開發模式與體系;

　　3. 不止強調安全工具，同樣注重安全管理，強化人員安全能力;

　　4. 進行運營安全數據反饋，形成安全閉環，不斷優化流程實踐。

　　而七大環節則分為軟件應用服務研發的要求階段、安全需求分析階段到上線后的發布階段、運營階段、停用下線階段等七個階段。

　　傳統研發運營安全模式僅能對發布、運營和停用下線階段進行保護。而在安全左移之后，新型研發運營安全體系就能夠在軟件應用服務設計早期便引入安全概念，從而讓安全覆蓋軟件應用服務全生命周期，最終實現達成降低安全問題解決成本、全方面提升服務應用安全和提升人員安全能力的目的。

　　不難看出，安全左移是搭建新型研發運營安全體系的重要前提。

　　研發運營安全體系，需向敏捷化、自動化演進

　　一直以來，研發運營安全相關體系的發展與開發模式的變化是密不可分的。隨著近年來云計算的普及，越來越多的企業開始將業務,尤其是核心業務向云原生的環境遷移，對軟件開發的質量和效率的要求不斷提高。

　　而DevOps作為一款云原生、API所驅動的敏捷開發工具，被云上企業廣泛應用于軟件應用服務開發和部署的過程中。白皮書認為，為適應軟件應用服務開發模式逐步向敏捷化發展的趨勢，研發運營安全體系也應隨之向敏捷化演進，能夠將安全工具無縫集成到開發過程中的“DevSecOps”開發框架，將成為未來研發運營安全的關鍵組成部分。

　　安全專家建議，在構建“DevSecOps”框架中的功能時，需要重點考慮風險和威脅建模、自定義代碼掃描、開源軟件掃描和追蹤、系統配置漏洞掃描、安全測試的自動化部署等安全功能。同時，用戶使用 DevOps 的目的決定了其對“自動化”和“持續性”的要求尤為突出，因此在將安全工具集成到開發過程之中時，也應該遵循“自動化”和“透明”的原則。

　　全生命周期安全體系，已在部分領域中成功落地

　　盡管白皮書給出了新型研發運營安全體系的構成和實現路徑，但安全左移、自動化和全生命周期安全保護在應用實踐中有著更高的要求。對于這類企業而言，選擇配套上云+云上原生安全產品組合，同樣不失為另一種解決方案。

　　騰訊安全在7月舉辦的“產業安全公開課·云原生專場”中，在直播課程中對外分享了騰訊安全云原生安全運營體系的構建理念，即以云原生為中心，以安全左移、數據驅動及自動化為基本支撐，從而實現云上的全生命周期安全管理。

　　其中，安全左移指的是云原生安全運營體系。首先應該具備事前感知安全威脅和配置風險檢查能力，既以構建安全預防體系的方式提升整體安全水平;而數據驅動則是云原生安全運營的基本要求，通過建立云上安全數據湖對各安全產品上的數據進行收集和統一管理;最后，通過云上資產自動化盤點及云上威脅自動化響應處置等自動化技術，對收集到的云上安全問題進行自動響應和處置，最終構建出對安全威脅從感知到檢測再到應對處置的全生命周期安全管理體系。

　　目前，騰訊安全以云原生安全運營體系為核心所打造的安全產品——騰訊安全運營中心累計為政府、金融、運營商、醫療、互聯網等多個領域提供安全保障。未來，騰訊安全將繼續探索全生命周期安全在其他產品和領域中的應用場景和實現路徑，為增強行業關于研發運營安全認識、實現安全可信生態建設提供助力。