研发运营安全白皮书.pdf

《研发运营安全白皮书 》 郭雪 中国信通院云大所云计算部副主任 研发运营安全是什么？ 应用安全 安全管理 安全服务 网络安全 身份管理 研发运营安全是指在将安全贯穿于管理、需求、设计、研发、测试、发布、运营的软件应用服务全生命周 期之中，采取相关技术与管理手段，加固产品安全，提升产品质量。 近义词：SDL SDLC DevSevOps 特点：安全前置、研发运营联动、安全下线 要求 设计 验证 运营 软件 需求分析 研发 发布 下线 云服务 传统安全 研发运营生命周期 对象 为什么需要关注研发运营整体的安全问题？ 研发阶段安全关注度 安全事件很大程度起源于 研发运营的安全管理 一直不高 代码级安全问题 相对割裂 细分市场 2017年 2018年 2019年 应用安全 24.34 27.42 30.03 根据Verizon 2019 安全补丁管理 云端安全 1.85 3.04 4.59 年的研究报告， 渗透测试 数据安全 25.63 30.63 35.24 身份访问管理 88.23 97.68 105.78 总计2013次已经 动态安全测试 基础设施保护 125.83 141.06 153.37 核实的数据泄露 数据脱敏 综合风险管理 39.49 43.47 47.12 安全事件中，超 系统调试 网络安全设备 109.11 124.27 133.21 过30%与研发阶 其他信息安全软件 18.32 20.79 22.85 段的应用程序代 数据来源：金融行业软件安全状况 安全服务 523.15 589.20 642.37 synopsysPonemon 消费者安全软件 59.48 63.95 66.61 码级安全漏洞相 安全相对滞后，大多位于研发 总和 1015.44 1141.52 1241.16