本文共 1110 字，大约阅读时间需要 3 分钟。

传统研发运营模式中，安全建设常常显得滞后，难以有效覆盖研发阶段的安全问题。近日，中国信息通信研究院、中国通信标准化协会联合主办的可信云线上峰会上发布了《研发运营安全白皮书（2020年）》。该白皮书由中国信息通信研究院牵头，联合腾讯、华为、阿里、京东等多家知名企业共同编制，旨在通过系统化、流程化的方法梳理软件应用服务研发运营全生命周期的安全趋势，为从业者提供安全实践指导。

白皮书指出，当前软件应用服务面临的安全威胁主要源于代码安全漏洞。这是因为大量的安全事件都源于开发过程中未被及时发现的代码安全漏洞。根据Verizon、Forrester和Gartner等国际知名机构的研究数据显示，代码安全漏洞和权限配置问题是导致Web应用程序攻击和数据泄露的主要原因。

传统的研发运营安全模式主要集中在交付后的运行阶段，例如防病毒、防火墙等安全功能，往往难以覆盖开发阶段的安全问题。这种模式的安全测试范围有限，安全漏洞的修复成本也相对较高。因此，白皮书强调，安全左移至关重要。通过在软件应用服务设计初期引入安全概念，可以构建覆盖全生命周期的新型研发运营安全体系。

新型研发运营安全体系的核心特点包括：覆盖范围广，延伸至下线停用阶段；具有更高的普适性，不依赖特定的开发模式或体系；注重安全管理，强化人员安全能力；以及通过运营安全数据反馈形成安全闭环，不断优化流程实践。

此外，白皮书还详细阐述了新型研发运营安全体系的七大环节，涵盖从软件应用服务研发的要求阶段到上线后的发布、运营、停用下线等各个阶段。相比传统模式，这种体系能够在代码设计阶段就引入安全概念，从而降低安全问题的解决成本，提升服务应用的整体安全性和人员安全能力。

在敏捷化开发和DevOps环境下，软件应用服务的质量和效率要求不断提高。白皮书认为，研发运营安全体系也需要随之向敏捷化、自动化演进发展。通过将安全工具无缝集成到"DevSecOps"开发框架中，安全测试能够更加自动化地融入开发流程，成为未来研发运营安全的关键组成部分。

"DevSecOps"框架在集成安全功能时，需要重点关注风险和威胁建模、自定义代码扫描、开源软件扫描、系统配置漏洞扫描以及安全测试的自动化部署等方面。同时，自动化和透明的原则是DevOps环境下安全工具集成的核心要求。

在实际应用中，云原生安全运营体系已在多个行业领域取得显著成效。例如，腾讯安全运营中心通过构建以云原生为中心、安全左移、数据驱动和自动化为支撑的全生命周期安全管理体系，为政府、金融、运营商、医疗和互联网等多个行业提供了安全保障。未来，腾讯安全将继续探索全生命周期安全的应用场景和实现路径，为建设安全可信生态贡献力量。

转载地址：http://ksbc.baihongyu.com/