本文版权为《邮电设计技术》所有,如需转载请联系《邮电设计技术》编辑部
摘要:研究了软件供应链的安全治理技术,解决软件供应链所面临的安全风险,构建软件供应链安全治理体系,形成业务应用软件设计、编码、测试、运营全生命周期的防护方案,实现对软件全流程链条的安全治理,提升应用系统的自身免疫力。
关键词:DevSecOps;软件供应链;应用自保护
doi:10.12045/j.issn.1007-3043.2022.09.004
前言
在数字化转型背景下,作为云原生技术不可或缺的持续交付、DevOps、微服务和容器技术正在被广泛使用,面对软件交付周期所带来的压力,DevSecOps理念被提出,DevSecOps是一种融合了开发、安全及运营理念的全新的安全管理模式,其核心理念是:业务应用生命周期的每个环节都需要为安全负责,安全是整个IT团队(包括开发、测试、运维及安全团队)所有成员的责任,并且需要贯穿到从研发至运营的全过程。
传统研发运营安全侧重于在测试及运营阶段,进行安全威胁排除,漏洞修复,更多的是被动式安全防御。面对云原生时代业务需要频繁调整、上线,亟需进行安全左移,在需求、研发阶段便进行安全介入,从源头处降低安全风险,实现主动式安全防御,从而构建覆盖软件应用服务全生命周期的安全体系。本文基于DevSecOps理念,在明确业务系统安全需求的前提下,制定贯穿软件系统全生命周期的实践方案,通过在软件开发的不同阶段将安全工具或安全活动进行整合,将各个信息安全孤岛进行串联,协同作战,实现安全设计、安全编码、安全测试和安全运营的统一融合,在提升软件系统研发过程标准化与自动化的同时,降低对效率的影响,也降低安全的成本。
