2023年中国网络安全行业《开发安全产品及服务购买决策参考》发布
前言
“敏捷企业”重新定义开发安全
随着企业数字化转型进入深水区,开发安全体系与能力建设(例如DevSecOps、SDL、ASPM)已成为事关企业发展甚至生存的最高优先级事项之一。离开安全谈敏捷,正如离开敏捷谈开发,在当下和未来的颠覆性技术革命中将面临巨大的战略性风险。
当前人工智能技术的突飞猛进,软件开发正在向低代码甚至无代码时代快速迈进,安全控制自动化程度不断提升;与此同时,企业不再满足于开发和运营部门内部的敏捷开发(DevOps),希望打造业务驱动的一体化开发运营平台,实现“敏捷企业”,兑现敏捷的商业价值,这些趋势都意味着开发安全自身也正面临一场敏捷革命。
安全开发需要摸着敏捷过河
狭义的开发安全强调“左移”和“右移”覆盖软件开发生命周期的需求、设计、测试、部署和运营的各个阶段。作为开发安全的主流方法之一,DevSecOps代表开发、安全和运营,是将安全性集成到持续集成、持续交付和持续部署管道中的实践。
但DevSecOps不仅仅是将安全“塞进”开发和运营。事实上,DevSecOps已成为一种工程文化、一种自动化平台设计方法,目标是将安全性集成到整个IT生命周期中,成为敏捷企业的安全基石,推动IT文化和网络安全的革命性转变,帮助企业打造持续的竞争优势,是数字化转型的要素之一。
因此,安全开发的根本目的,不是“安全左移、右移”,而是端到端交付高质量(安全)软件,在此基础上实现“业务敏捷”,这意味着开发安全的技术提供商们也需要具备“敏捷思维”,匹配企业客户的敏捷需求。
开发安全进入深水区
近年来开发安全和软件供应链重大安全事件密集爆发,Log4j漏洞、Solarwind、Kaseya、Goanywhere软件供应链攻击,“拼多多恶意软件门”,npm开源包投毒事件…无一不是影响广泛、损失巨大,甚至撬动全球网络安全产业格局的重大事件。
事实无数次证明,仅仅依靠传统的被动安全方法已经无法避免软件供应链攻击导致的重大业务中断和巨额损失,主动式的、协作式的网络安全方法(例如DevSecOps、ASPM、CNAPP)正在得到更多关注和重视。
与此同时,随着“安全左移”的深入,企业开发安全已经进入深水区,DevOps已经不局限于开发和运营部门,企业越来越关注商业价值端到端交付的全生命周期管理,敏捷开发正在融入敏捷业务和敏捷企业的核心业务流程。
越来越多的企业开始关注基于一体化开发运营平台建设敏捷安全开发管理体系,例如业务开发运营(BizDevOps)和安全开发运营(DevSecOps)。这对于安全开发来说,不仅仅意味着“安全右移”,而且还需要突破狭义的DevOps定义,对接企业的业务需求、敏捷战略、流程、技术和基础设施,打造符合新一代敏捷开发和敏捷企业需求的DevSecOps建设理论和能力体系,让安全开发成为企业“敏捷引擎”的飞轮而不是刹车片。
开发安全的全生命周期流程与产品
开发安全旨在将安全措施整合到软件开发生命周期(上图)的各个阶段。以下是一些常见的DevSecOps开发安全产品和解决方案:
静态应用程序安全测试(SAST):SAST工具在代码编译之前检查源代码,查找潜在的安全漏洞。
动态应用程序安全测试(DAST):DAST工具在应用程序运行时检测安全漏洞。
依赖项和代码库扫描:这些工具扫描项目的依赖项和库,以发现已知的安全漏洞。
软件成分分析(SCA):随着软件供应链安全威胁的不断增长,软件成分分析(SCA)的重要性正不断提升,对于部分或者全部依赖开源软件的开发项目,SCA工具可用于自动识别整个容器映像、打包的二进制文件和源代码中的漏洞。SCA工具对于识别和管理软件许可,以及实现最佳代码集成也很有用。
容器安全:容器安全解决方案关注容器镜像的安全性、部署配置以及运行时环境。
云安全:云安全解决方案提供对基于云的应用程序、数据和基础设施的保护。
代码审查工具:代码审查工具有助于检查代码质量和安全性,促使团队遵循最佳实践。常见的代码审查工具有GitHub、GitLab、Bitbucket、Crucible等。
持续集成和持续部署(CI/CD)工具:CI/CD工具支持自动化软件构建、测试和部署,其中包括安全测试。常见的CI/CD工具有Jenkins、GitLab CI/CD、GitHub Actions、Azure DevOps、CircleCI等。
2023年开发安全的趋势与热点
- 基于人工智能大语言基础模型的代码审查、安全开发威胁建模、事件响应、知识管理和流程自动化。与大多数自动化技术实践类似,借助自动化框架,企业可以在整个SDLC中自动化低级别的DevSecOps任务,包括应用安全的实施和监控,以及从网络安全角度对应用程序的监控。借助人工智能大语言模型,渗透测试、事件响应、知识管理、安全培训等高级任务也将大大提高自动化水平。
- 安全右移:企业DevOps市场正朝着一体化DevOps平台和业务开发运营一体化(BizDevOps)方向发展,开发安全的“安全右移”开始受到重视。与“安全左移”相反,“安全右移”不是在SDLC早期执行安全流程,而是在交付管道中执行,称为右移。“安全右移”通常涉及生产环境中的测试,可以从大型资源池和异构用户行为中发现和修复更多潜在安全问题。常见的安全右移模式包括功能标志、蓝/绿或滚动部署,以及运行时分析和跟踪工具,可侦听大规模生产系统中的质量/使用信号,以优化/强化应用程序、确保安全性或限制风险/新功能的范围,直到它们使用实时生产数据进行全面测试并逐步推出。
- API安全是关键抓手。API开发安全与应用开发安全息息相关,但又截然不同,应用程序面向用户而API面向机器,传统的基于规则的应用安全解决方案和代码扫描工具无法发现OWASP API安全列表中的威胁类型。
- DevSecOps安全工具整合是大势所趋,越来越多的企业希望基于一体化开发运营平台打造敏捷企业能力。
- AI安全:面对2022下半年以来的人工智能开发热潮,网络安全行业现在还缺少针对AI攻击的安全工具(例如AI应用防火墙)。因此,对于开发或部署AI的企业来说,了解AI攻击的原理,并在AI开发运营的人员和流程领域进行加固至关重要。
- 云原生应用程序保护平台CNAPP(CSPM、容器安全等)。安全工具的整合是当下云环境中最关键和迫切的需求之一。CNAPP的核心价值在于将CSPM、CASB、CIEM和CWPP等大量云安全产品全部集中在一个解决方案中,使云安全用户更容易管理和保护他们的环境。CNAPP将覆盖从创建代码模板、更改配置到启动工作负载的云生命周期所有阶段的安全风险。
- 开源安全(OSS)和软件成分分析(SCA)。随着开源软件的日益普及,SCA正在成为应用程序安全的必备工具。SCA主要有两种模式:静态模式是使用工具对目标工程文件进行解压,识别和分析各个组件的关系;动态模式则是依赖于执行过程,在程序执行的同时收集必要的活动元数据信息,通过数据流跟踪的方式对目标组件的各个部分之间的关系进行标定。
- 软件供应链安全(SBOM)。SBOM(软件物料清单)是安全业界公认的遏制软件供应链风险的最佳方案之一,可以增强软件供应链的可见性,极大地便利软件组件溯源、软件产品依赖关系梳理、已知漏洞的影响范围判断、及时发现恶意软件渗透等,从而有力支撑软件供应链相关监管政策规则的落地实施。Gartner预测,到2025年,60%负责开发关键基础设施软件的组织将在其软件工程实践中强制实施和标准化SBOM,较2022年(不到20%)大幅上升。
- 全局化的安全开发意识、文化与流程。开发安全依赖跨安全、IT运营、研发甚至业务部门的文化、技术、流程支撑和协作。根据DarkReading的“十大应用安全风险”调查,38%的企业安全负责人认为开发者缺乏安全培训是最大的应用安全风险,排名第一。32%的受访者认为“跨部门安全流程不完善”是应用安全最大风险,排名第三。
开发安全的选型基准
选择合适的DevSecOps解决方案对企业至关重要。这将有助于确保开发、安全和运维团队之间的协同工作,提高软件质量和安全性。以下是企业在选择DevSecOps解决方案时需要考虑的几个关键因素:
了解企业需求:首先,了解企业的需求、业务目标和技术栈,这有助于确定适合的DevSecOps解决方案。同时,要考虑企业的规模、预算和资源。
功能性:选择一个功能全面的DevSecOps解决方案,涵盖从代码审查、持续集成、持续部署、安全扫描、漏洞管理等各个方面。确保选定的解决方案满足企业的安全需求和合规要求。
集成能力:选择一个易于与现有工具和平台集成的解决方案。这有助于确保DevSecOps流程与开发、安全和运维团队的现有工作流程无缝对接。
可扩展性:考虑解决方案的可扩展性,以便在企业发展和业务需求变化时能够适应。这包括对新技术、架构和编程语言的支持。
易用性和支持:选择一个易于使用、配置和维护的解决方案。同时,确保供应商提供良好的技术支持和培训资源,帮助企业快速上手并实现价值。
成本效益:评估解决方案的总体成本和预期收益。选择一个在预算范围内的解决方案,同时要确保它能够实现长期的投资回报。
工具自身的安全性。随着凭据泄露和暗网交易的日益猖獗,越来越多的攻击者开始选择从安全工具入手实施供应链攻击,因此安全工具自身的安全性已经成为产品选型的重要考量因素。
供应商声誉:了解解决方案供应商的声誉、客户评价和行业地位。选择一家经验丰富、值得信赖的供应商,以确保他们能够提供高质量的产品和服务。
安全合规:确保解决方案符合不同行业标准和法规要求,如GDPR、HIPAA、ISO 27001等,这有助于降低企业的合规风险。
综合以上因素,面对快速创新迭代的开发安全产品和解决方案市场,企业需要根据自身的敏捷战略评估DevSecOps解决方案,选择最适合需求和预算的产品。在实施过程中,定期审查和调整DevSecOps策略以确保其持续满足企业的发展需求。
为了帮助CISO拨开营销迷雾,提高市场能见度,全面了解潜在开发安全战略合作伙伴。GoUpSec深入调研了14家国内开发安全“酷厂商”(包括专业厂商和综合安全厂商),从产品功能、应用行业、成功案例、安全策略等维度对各厂商开发安全产品及服务进行调研了解,整理形成了2023年中国网络安全行业《开发安全产品及服务购买决策参考》。
本次报告共收录14家国内网络安全厂商,共计35个开发安全产品及服务,具体成功实施案例39例,分别来自金融、政府、央企、运营商、互联网、能源、智能制造、教育、医疗、车企、轨道交通、通信等重点行业。
以下为14家网络安全厂商开发安全产品及服务详情,获取《开发安全产品及服务购买决策参考》完整版见文末介绍。
安普诺
安全共识
安御道合
梆梆安全
国舜股份
海云安
开源网安
酷德啄木鸟
墨菲安全
默安科技
四叶草安全
孝道科技
星阑科技
云起无垠