京東安全亮相ICS安全技術(shù)峰會(huì)，分享甲方安全技術(shù)創(chuàng)新實(shí)踐

12月18日，由貝殼找房主辦的ICS安全技術(shù)峰會(huì)在北京海航萬豪酒店召開，本次會(huì)議圍繞“產(chǎn)業(yè)互聯(lián)、安全破局”的主題，匯聚騰訊、京東、貝殼找房、小米、字節(jié)跳動(dòng)、長亭科技等各產(chǎn)業(yè)互聯(lián)網(wǎng)領(lǐng)域頭部企業(yè)的安全負(fù)責(zé)人和安全專家，共同就產(chǎn)業(yè)互聯(lián)網(wǎng)融合下的安全趨勢、安全新挑戰(zhàn)進(jìn)行剖析。京東集團(tuán)信息安全部基礎(chǔ)安全架構(gòu)師李寶發(fā)表了有關(guān)DevSecOps創(chuàng)新實(shí)踐的演講。

最初，京東安全采用很多企業(yè)廣泛使用的SDL(安全開發(fā)全生命周期)技術(shù)框架進(jìn)行安全管控，在軟件開發(fā)流程的各個(gè)階段引入安全和隱私問題，安全人員從應(yīng)用的需求分析開始，就全流程地參與到整個(gè)應(yīng)用的開發(fā)當(dāng)中，前置性地利用安全技術(shù)，幫助開發(fā)者去保證應(yīng)用的安全與合規(guī)。通過實(shí)施SDL，京東的安全建設(shè)取得了不錯(cuò)的成效，大大降低了上線應(yīng)用的安全風(fēng)險(xiǎn)和漏洞數(shù)量。

不過，隨著業(yè)務(wù)的發(fā)展速度加快、業(yè)務(wù)變化和復(fù)雜度不斷攀升，問題逐漸顯現(xiàn)。首先，隨著產(chǎn)業(yè)互聯(lián)網(wǎng)融合加深，企業(yè)數(shù)字化轉(zhuǎn)型加速，在敏捷開發(fā)的加持下，企業(yè)的應(yīng)用數(shù)量激增，以京東為例，目前自研的業(yè)務(wù)應(yīng)用數(shù)量在短短幾年間就告訴增長了十幾倍，逐個(gè)應(yīng)用去投入安全人員參與全流程開發(fā)，人力、成本都難以支撐，效率也會(huì)大打折扣。其次，云化、容器化、AIoT等技術(shù)的發(fā)展，產(chǎn)生了很多新型安全問題，由此產(chǎn)生的新型攻擊也是層出不窮，安全人員很難在突發(fā)應(yīng)急響應(yīng)的過程中，第一時(shí)間就覆蓋所有業(yè)務(wù)和應(yīng)用。

在京東，安全緊隨業(yè)務(wù)發(fā)展，變革之路勢在必行。

如何改變?李寶指出，一方面，從技術(shù)上，需要一套新的、能夠自動(dòng)化發(fā)現(xiàn)安全問題的技術(shù)框架，不僅需要從開發(fā)端最大程度地減少問題，也要能夠在應(yīng)用上線后出現(xiàn)漏洞時(shí)，能夠快速敏捷地解決問題;另一方面，為了避免忙于“救火”和“打地鼠”，李寶提到，“安全問題并不是安全團(tuán)隊(duì)可以獨(dú)立解決的事情，需要開發(fā)者和運(yùn)營者能夠熟練操作這套自動(dòng)化的技術(shù)框架，安全人員則扮演賦能者和指導(dǎo)者的角色。”

李寶提到的這個(gè)技術(shù)框架，就是DevSecOps。京東集團(tuán)正在落地實(shí)踐這套體系。

關(guān)于DevSecOps自動(dòng)化和閉環(huán)完整性的優(yōu)勢自不必說。在會(huì)上，李寶介紹了京東在DevSecOps框架中的創(chuàng)新與最佳實(shí)踐。

以前置代碼安全為例，很多企業(yè)的開發(fā)人員在編寫代碼時(shí)沒有考慮到安全因素，最終在CI/CD(持續(xù)集成/持續(xù)交付)的過程中發(fā)現(xiàn)了問題，為此要付出高昂的修正成本。為了解決這個(gè)問題，京東安全主要從兩方面入手：

一方面，京東安全制定了一整套嚴(yán)謹(jǐn)?shù)木幋a標(biāo)準(zhǔn)，從源頭上去提升研發(fā)人員的代碼質(zhì)量;

另一方面，“只要有人工操作就難免有失誤”，為了最大限度地減少漏洞數(shù)量，京東安全還采用前置代碼的方式去自動(dòng)化地排查安全隱患，比如在開發(fā)人員的IDE環(huán)境當(dāng)中置入代碼安全引擎，這套引擎有自動(dòng)觸發(fā)、檢測及時(shí)、使用簡單、定位準(zhǔn)確、更新方便等諸多優(yōu)點(diǎn)，能夠在開發(fā)人員寫代碼過程中，自動(dòng)化、友好地提醒他們存在的安全隱患。

除此之外，“授人以魚不如授人以漁”，它還能針對(duì)性的給出代碼修改建議。長此以往，則會(huì)帶動(dòng)開發(fā)人員編碼質(zhì)量和安全意識(shí)、安全水平的整體提升。

目前，很多公司均在應(yīng)用在DAST(動(dòng)態(tài)應(yīng)用程序安全測試)技術(shù)，與其不同的是，京東安全通過業(yè)務(wù)流重放的模式，模擬黑客行為覆蓋到業(yè)務(wù)的全流程，以確保最大程度地發(fā)現(xiàn)潛在風(fēng)險(xiǎn)。

除了編碼階段的前置代碼安全和測試階段的DAST實(shí)踐，李寶還在會(huì)上介紹了京東安全在發(fā)布階段的構(gòu)建可信應(yīng)用，以及應(yīng)用上線后的漏洞熱修復(fù)方面的創(chuàng)新與實(shí)踐，覆蓋了整個(gè)DevSecOps閉環(huán)的各個(gè)階段。

憑借DevSecOps的落地和創(chuàng)新利用，通過一系列安全框架最佳實(shí)踐落地措施，集團(tuán)各個(gè)業(yè)務(wù)線研發(fā)人員的安全意識(shí)、安全水平明顯明顯提提升，安全建設(shè)成效顯著——盡快集團(tuán)的應(yīng)用數(shù)量大幅上升到兩百萬的量級(jí)，但是應(yīng)用上線前的漏洞數(shù)量總量卻比之前下降了百分之六十之多。

達(dá)則兼濟(jì)天下。

在前不久的京麒網(wǎng)絡(luò)安全大會(huì)上，京東安全發(fā)布了全新的企業(yè)安全操作系統(tǒng)，此系統(tǒng)是在京東安全多年建設(shè)經(jīng)驗(yàn)和技術(shù)的基礎(chǔ)上，對(duì)于其中精華技術(shù)和創(chuàng)新實(shí)踐的方法論沉淀。在不久的將來，京東安全希望能夠通過這套系統(tǒng)，將京東的甲方最佳安全實(shí)踐和創(chuàng)新技術(shù)，以生態(tài)連接的方式，賦能給行業(yè)，幫助更多企業(yè)構(gòu)建安全、高效、低成本的業(yè)務(wù)環(huán)境。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）