研发运营安全白皮书 （2020年） 云计算开源产业联盟 OpenSource Cloud Alliance for industry，OSCAR 2020年7月 版权声明 本白皮书版权属于云计算开源产业联盟，并受法律保护。 转载、摘编或利用其它方式使用本调查报告文字或者观点的， 应注明“来源：云计算开源产业联盟”。违反上述声明者，本联 盟将追究其相关法律责任。 前 言 近年来，安全事件频发，究其原因，软件应用服务自身存在代码 安全漏洞，被黑客利用攻击是导致安全事件发生的关键因素之一。随 着信息化的发展，软件应用服务正在潜移默化的改变着生活的各个方 面，渗透到各个行业和领域，其自身安全问题也愈发成为业界关注的 焦点。传统研发运营模式之中，安全介入通常是在应用系统构建完成 或功能模块搭建完成之后，位置相对滞后，无法完全覆盖研发阶段的 安全问题。在此背景下，搭建整体的研发运营安全体系，强调安全左 移，覆盖软件应用服务全生命周期安全，构建可信理念是至关重要的。 本白皮书首先对于研发运营安全进行了概述，梳理了全球研发运 营安全现状，随后对于信通院牵头搭建的研发运营安全体系进行了说 明，归纳了研发运营安全所涉及的关键技术。最后，结合当前现状总 结了研发运营安全未来的发展趋势，并分享了企业组织研发运营安全 优秀实践案例以供参考。 参与编写单位 中国信息通信研究院、华为技术有限公司、深圳市腾讯计算机系 统有限公司、阿里云计算有限公司、浪潮云信息技术股份公司、京东 云计算（北京）有限公司、北京金山云网络技术有限公司、深圳华大 生命科学研究院、奇安信科技集团股份有限公司、杭州默安科技有限 公司、新思科技（上海）有限公司 主要撰稿人 吴江伟、栗蔚、郭雪、耿涛、康雪婷、徐毅、章可镌、沈栋、 郭铁涛、张祖优、马松松、黄超、伍振亮、祁景昭、朱勇、贺进、 宋文娣、张娜、蔡国瑜、张鹏程、张玉良、董国伟、周继玲、杨国 梁、肖率武、薛植元 目 录 一、研发运营安全概述................................................................................................................... 1 （一）研发层面安全影响深远，安全左移势在必行 ........................................................... 1 （二）覆盖软件应用服务全生命周期的研发运营安全体系 ............................................... 4 二、研发运营安全发展现状........................................................................................................... 5 （一）全球研发运营安全市场持续扩大............................................................................... 5 （二）国家及区域性国际组织统筹规划研发运营安全问题 ............................................... 7 （三）国际标准组织及第三方非盈利组织积极推进研发运营安全共识 ......................... 12 （四）企业积极探索研发运营安全实践............................................................................. 14 （五）开发模式逐步向敏捷化发展，研发运营安全体系随之向敏捷化演进 ................. 19 三、研发运营安全关键要素......................................................................................................... 21 （一）覆盖软件应用服务全生命周期的研发运营安全体系 ............................................. 22 （二）研发运营安全解决方案同步发展............................................................................. 31 四、研发运营安全发展趋势展望................................................................................................. 41 附录：研发运营安全优秀实践案例............................................................................................. 43 （一）华为云可信研发运营案例......................................................................................... 43 （二）腾讯研发运营安全实践............................................................................................. 50 （三）国家基因库生命大数据平台研发运营安全案例 ..................................................... 58 图 目 录 图 1 Forrester 外部攻击对象统计数据 ........................................... 2 图 2 研发运营各阶段代码漏洞修复成本 ........................................... 3 图 3 研发运营安全体系 ........................................................ 4 图 4 Cisco SDL 体系框架图 .................................................... 16 图 5 VMware SDL 体系框架图 ................................................... 17 图 6 微软 SDL 流程体系 ....................................................... 20 图 7 DevSecOps 体系框架图 .................................................... 21 图 8 研发运营安全解决方案阶段对应图 ......................................... 32 表 目 录 表1 表2 表3 表4 表5 表6 2019-2020 全球各项安全类支出及预测 ....................................... 6 2019-2020 中国各项安全类支出及预测 ....................................... 7 重点国家及区域性国际组织研发运营安全相关举措 ........................... 12 国际标准组织及第三方非营利组织研发运营安全相关工作 ..................... 14 企业研发运营安全具体实践 ............................................... 19 SDL 与 DevSecOps 区别对照 ................................................ 21 云计算开源产业联盟 研发运营安全白皮书 一、 研发运营安全概述 （一）研发层面安全影响深远，安全左移势在必行 随着信息化的发展，软件应用服务正在潜移默化的改变着生活的 各个方面，渗透到各个行业和领域，软件应用服务的自身安全问题也 愈发成为业界关注的焦点。 全球安全事件频发，代码程序漏洞是关键诱因之一。2017 年，美 国最大的征信机构之一 Equifax 因未能及时修补已知的安全漏洞发 生一起涉及 1.48 亿用户的数据安全、隐私泄露事件，影响几乎一半 的美国人口；国内电商因优惠券漏洞被恶意牟利，酒店、求职等网站 也曾发生数据安全事件，泄露百万级、亿级用户隐私数据。究其原因， 软件应用服务自身安全漏洞被黑客利用攻击是数据安全事件层出不 穷关键因素之一。根据 Verizon 2019 年的研究报告《Data Breach Investigations Report》，在总计核实的 2013 次数据泄露安全事件 中，超过 30%与 Web 应用程序相关，Web 应用程序威胁漏洞具体指程 序中的代码安全漏洞以及权限设置机制等。Forrester 2019 年发布 的 调 查 报 告 《 Forrester Analytics Global Business Technographics Security Survey，2019》中显示，在 283 家全球企 业已经确认的外部攻击中，针对软件漏洞以及 Web 应用程序是位于前 两位的，分别占比达到了 40%与 37%，具体数据见图 1，其中软件漏洞 主要指对于安全漏洞的利用攻击，攻击 Web 应用程序主要指基于程序 的 SQL 注入、跨站脚本攻击等。 1 云计算开源产业联盟 研发运营安全白皮书 0% 5% 10% 15% 20% 25% 30% 35% 40% 45% 40% 37% 软件漏洞（漏洞利用） Web应用程序（SQL注入、跨站脚本… 28% 25% 25% 25% 25% 20% 19% 14% 使用被盗凭证（加密秘钥） DDoS 水坑攻击 移动恶意软件 利用丢失/被盗资产 DNS 钓鱼 勒索软件 6% 社会工程学 其他 1% 数据来源：Forrester 图 1 Forrester 外部攻击对象统计数据 根据咨询公司 Gartner 统计数据显示，超过 75%的安全攻击发生在代 码应用层面。 已知安全漏洞中，应用程序安全漏洞与 Web 应用程序安全漏洞占 多数。美国国家标准技术研究院（NIS