2022年12月28日，由懸鏡安全主辦，3S-Lab軟件供應鏈安全實驗室、Linux基金會OpenChain社區、ISC、OpenSCA社區聯合協辦的第二屆全球DevSecOps敏捷安全大會（DSO 2022）已通過全球直播的形式圓滿舉行。本屆大會以“共生·敏捷·進化”為主題，以“敏捷共生，守護中國軟件供應鏈安全”為使命，聚焦DevSecOps敏捷安全、軟件供應鏈安全和云原生安全三大典型應用場景下的新技術、新態勢、新實踐。會上，大會出品人、懸鏡安全創始人子芽以“DevSecOps敏捷安全技術演進洞察（2022）”為主題，圍繞DevSecOps敏捷安全技術演進趨勢以及關鍵技術應用實踐作了精彩分享，并正式發布了行業期待已久的第三版DevSecOps敏捷安全技術金字塔。下面讓我們一同揭秘“DevSecOps敏捷安全技術金字塔V3.0”。什么是DevSecOps敏捷安全技術金字塔？隨著企業數字化轉型加速，更多的數字資產和員工處于傳統企業基礎設施邊界之外，同時，各式各樣數字化轉型而來的新業務和新技術也成為企業安全團隊的保護對象。企業若想應對未來高級威脅和復雜場景的挑戰，支持內生自免疫、敏捷自適應、共生自進化的積極防御安全架構成了必要選擇，安全功能應可拆分成諸多原子化的安全能力，具備離散式制造、集中式交付、統一化管理、智能化應用等關鍵能力，進而通過控制層編排組合成適應不同業務場景安全要求的敏捷工具鏈和體系化方案。在這樣的大背景下，DevSecOps敏捷安全技術金字塔應運而生，它是DSO敏捷安全大會出品人子芽基于長期DevSecOps敏捷安全技術前沿研究探索成果和懸鏡安全團隊在軟件供應鏈安全和云原生安全領域多年的應用實踐沉淀匯聚而來，融合了國內外行業頭部企業 “安全左移，從源頭做風險治理”和“敏捷右移，安全運營敏捷化”的實踐思想，并持續內涵了“出廠自免疫、敏捷自適應、共生自進化”的關鍵特性（關注‘懸鏡安全’官方公眾號，即可參考子芽專業著作《DevSecOps敏捷安全》，了解更多”）。其中，不同敏捷安全技術棧落入金字塔不同實踐階層的重點考量主要圍繞“技術創新度、產品成熟度和市場需求度”三個維度展開。圖1 DevSecOps敏捷安全技術金字塔V3.0DevSecOps敏捷安全技術金字塔V3.0有什么新變化？圖2 DevSecOps敏捷安全技術金字塔-演進對比作為DevSecOps敏捷安全技術的引領指南，本次發布的3.0版本不僅延續了敏捷安全技術分層與企業組織DevSecOps成熟度非正比關系的編排原則，還引入了跨領域新技術與敏捷安全技術進行深入的實踐融合。本次DevSecOps敏捷安全技術金字塔V3.0根據不同階段相關技術的應用成熟度和落地效果進一步細化了敏捷安全應用實踐的階層，包含傳統建設層、應用實踐層（敏捷安全實踐第一層）、技術探索層、效果度量層和卓越層（最高層）共五個階段，下面將逐一進行技術解碼：傳統建設層：WAF、EDR、Deception、CKS、ASTs從網絡安全技術演進和傳統縱深防御體系構筑的視角，典型實用的安全技術主要分為邊界流量分析技術、端點環境檢測響應技術和應用情境感知響應技術。在金字塔V3.0中，懸鏡安全首次將Deception（攻擊欺騙）和CKS（容器和K8s安全）納入并置于傳統建設層，主要是考慮到趨勢發展和相關應用實踐的成熟性，子芽提出，它們已經成為不同企業在不同場景下的基本應用要求。以CKS為例，隨著容器和微服務等新型基礎設施的日益普及和CKS技術門檻的大幅度降低，該技術被視為傳統安全體系建設過程中基本具備的安全能力。作為傳統縱深防御關鍵技術的WAF、EDR以及ASTs依然入選。其中ASTs包括了SAST（白盒）、DAST（黑盒）和MAST（移動應用安全）三種傳統應用安全測試技術，子芽也提到，AST技術存在進一步的融合趨勢。應用實踐層：IAST、SCA、RASP、BAS在應用實踐層中，涵蓋了四種既能在日常應用實踐過程中具備較好應用效果，又能與DevOps CI/CD管道柔和融合的創新技術。其中，RASP（Runtime Application Self-protection，運行時應用自我保護）由于在0DAY未知漏洞攻擊防御、API威脅免疫、紅藍對抗、軟件供應鏈攻擊防御及應用東西向威脅流量檢測響應過程中相對出色的表現預期以及技術性能的大幅度提升，日漸被市場青睞，從過往所處的技術探索層踴躍至DevSecOps敏捷安全技術實踐的第一層。子芽預測，在接下來的三年中，RASP在HW、紅藍對抗等場景下會有更加廣泛的市場應用。此外，子芽著重強調，在這一層中，IAST和RASP的深度融合是大勢所趨。隨著運行時智能插樁、應用威脅情境感知和API智能檢測響應等關鍵技術的創新與突破，以IAST和RASP為核心的代碼疫苗技術迎來了蓬勃發展期。通過單探針的形式，代碼疫苗技術不僅能在測試環境中實現應用風險檢測以及API挖掘和覆蓋分析，還能賦能數字化應用實現攻擊威脅的出廠免疫以并提供運行時敏感數據追蹤等關鍵能力，實現檢測響應一體化，支持軟件供應鏈攻擊防御、0DAY未知漏洞攻擊防御、應用東西向威脅流量檢測響應、無文件攻擊檢測響應、漏洞攻擊全鏈路回溯及API威脅免疫等復雜應用場景。圖3 All in one：“代碼疫苗”單探針深度融合技術探索層：DRA、SDE、Fuzzing作為DevSecOps敏捷安全技術實踐的第二層，引入的創新技術都是具備強技術突破性，可具體解決某類應用場景下突出問題，但在通用應用效果、市場需求和實踐方面還有巨大提升潛力的前瞻性技術。DRA（Data Risk Assessment，數據風險評估）是首次引入金字塔的創新技術。在子芽看來，DRA作為開展數據安全治理工作的基礎，主要關注數據安全風險包括數據傳輸、個人隱私、數據生命周期管理、技術漏洞等，不但受國家法律和監管要求的強推動，而且是DevSecOps敏捷安全技術實戰需求。對此子芽指出，隨著DevSecOps敏捷安全技術應用實踐的深入，敏捷安全體系的建設不再只關注應用級別的漏洞和外部攻擊威脅，還將進一步深入到敏感數據泄露風險評估和治理工作。同樣作為首次引入金字塔的創新技術，SDE（Securing Development Environment，開發環境安全）涉及保護完整的軟件開發環境，包括但不限于源代碼存儲庫、CI/CD 管道、應用程序工件和用戶身份信息。鑒于軟件供應鏈攻擊、開源工具的廣泛使用以及遠程工作方式導致的風險增加，保護開發環境變得至關重要。子芽認為，透過近年來的RSAC創新沙盒大賽可以發現，代碼安全和開發環境安全已然成為軟件供應鏈安全的主要抓手，正呈現融合發展的趨勢。這一層中第三個創新技術是連續三次引入金字塔的Fuzzing（API模糊測試），聚焦未知漏洞挖掘和異常風險發現。但子芽表示，受限于其獨特的技術原理和高應用門檻，對常態化使用它的用戶有著較高的專業技能要求，且在檢測精度、技術性能上有較大提升空間，Fuzzing未來仍需要一段時間才能成熟。效果度量層：ASOC、CNAPP 作為DevSecOps敏捷安全技術實踐的第三層，引入的都是框架型平臺技術，側重于提升整個敏捷安全體系的運營效率，但在市場需求和實踐方面尚有巨大提升潛力。ASOC（Application Security Orchestration and Correlation，應用安全編排與關聯）也是首次引入金字塔的創新技術。子芽介紹到，它是由過往版本金字塔中的ASTO（Application Security Testing Orchestration，應用安全測試自動化編排）和AVC（Application Vulnerability Correlation，應用程序漏洞關聯）兩項技術合并而成，核心優勢在于可以較大程度提高DevSecOps的運行效率，可將面向應用安全（Appsec）的DevSecOps敏捷安全工具鏈真正運營起來，是安全左移實踐思想的重要落地抓手。ASTO強調的是向下編排安全工具鏈，以智能自動化的方式來完成安全活動；AVC則從漏洞入手，針對各種AST工具長久以來無法解決的誤報、重復等問題，引入漏洞關聯分析手段協助用戶進行更好的修復優先級判斷。CNAPP（Cloud-Native Application Protection Platform，云原生應用保護平臺）同樣是首次引入，它不是簡單拼湊工具，而是一個云原生安全框架型技術，通過將現有的云安全技術融合到一個統一的面向應用全生命周期的解決方案中，并將已經存在的單點防護進行整合，實現了從代碼開發到構建再到部署運行整個應用生命周期的安全可視化以及安全防護，子芽指出，從這個角度理解，CNAPP是安全左移的典型表現。它同樣也是敏捷右移實踐思想的重要落地抓手，重點從保護基礎設施轉向保護工作負載和在這些工作負載上運行的應用程序，可在統一平臺中執行所有這些功能，幫助消除DevSecOps流程中的摩擦。卓越層：CARTA作為DevSecOps敏捷安全技術實踐的最高層，也是DevSecOps敏捷安全體系建設的終極愿景，連續三年被CARTA占據。CARTA（Continuous Adaptive Risk and Trust Assessment，自適應風險與信任評估）從規劃、構建、運營三個維度動態評估企業的數字化業務在整個軟件全生命周期中面臨的風險和信任，不追求零風險，不要求100%信任，持續構建一個信任和彈性的研運一體化安全環境，使得企業組織能夠敏捷地、和業務共生地、持續進化地參與到軟件供應鏈安全建設和保障中去。圖4 CARTA自適應風險與信任評估框架子芽重點提到，網絡安全的本質是風險和信任的動態平衡。DevSecOps不是安全開發和安全運營的簡單結合，安全開發的終點也不能簡單歸結為漏洞處置，安全運營的終點亦不能簡單歸結為威脅響應，而是應以終（漏洞處置和威脅響應）為始，回歸應用和體系，以人為本，結合智能自動化技術實現共生、敏捷、進化的安全新局面，形成真正意義上的應用全生命周期持續安全大循環，這才是DevSecOps敏捷安全體系建設的終極愿景，也正是DevSecOps莫比烏斯環所真正象征的意義。DevSecOps敏捷安全技術如何落地？最后，子芽分享了DevSecOps在落地過程中的輕量級應用實踐指南。輕量級是指該指南不是簡單面向DevSecOps敏捷安全技術金字塔所囊括的所有技術，力求能結合企業自身安全體系建設現狀在短中期內達到一定的實踐效果，幫助企業用戶逐步構筑一套適應自身業務彈性發展、面向敏捷業務交付并引領未來架構演進的安全開發運營共生體系，兼顧文化、流程、技術演進和持續度量。圖5 DevSecOps輕量級應用實踐指南DevSecOps敏捷安全技術金字塔V3.0的發布，又一次刷新了行業力量對軟件供應鏈安全體系建設的新認知，全方位、系統性、深層次地把脈了DevSecOps敏捷安全技術的未來演進趨勢、軟件供應鏈安全領域技術創新研究和落地實踐的進化方向，更以實際行動推動安全產業生態共建、共治、共享，傳遞和初步踐行了DSO敏捷安全大會“敏捷共生，守護中國軟件供應鏈安全”的使命。關注“懸鏡安全”、“DevSecOps敏捷安全大會”公眾號，獲取DSO大會更多精彩內容回顧。