DevSecOps与软件供应链安全发展的思考

当前，我国正处在以数字化、 络化的科技变革浪潮中，新一代信息技术与其他产业不断加速融合，因而推动新生态、新技术、新业务不断涌现。

软件开发方和软件使用方对软件服务的质量和上线速度要求越来越高，传统研发效率难以满足新型研发的要求，企业的开发运维模式逐渐向开发运维一体化转型。DevOps与软件供应链的理念正被广泛认可并加速落地实践。

从DevOps到DevSecOps的内置安全防护

DevOps的概念2008在多伦多敏捷会议上首次被提出，它强调高效组织团队之间如何通过自动化的工具协作和沟通来完成软件的生命周期管理，从而更快更稳定的交付软件。

DevOps快速迭代和发展的过程中，安全问题经常被忽视，为了更好地优化整个流程，将安全细节融入开发运维的各个阶段，DevSecOps模式成为主流。

DevSecOps的核心理念，安全是整个IT团队每个人的责任，需要贯穿从开发到运营整个业务生命周期的每一个环节才能提供有效保障。

DevSecOps依赖于DevOps流程工具链，将威胁建模工具、安全编码工具、安全测试工具、容器安全检测工具、基线加固工具、漏洞管理工具等自动化工具无缝集成到DevOps流程中，从而尽可能地减少安全风险，使软件安全性更接近开发与业务目标。

软件供应链安全关系着国家安全

近年来在国际竞争关系错综复杂、 络空间安全对抗日益加剧的新形势下，竞争的战场已不再仅是企业之间的业务竞争，而是延伸到重要领域信息技术供应链之间的竞争。美国于2021年5月12日发布了《关于改善国家 络安全》的第14028 行政命令（EO），明确要求美国联邦政府加强软件供应链安全管控近日，其中“加强软件供应链安全”部分有24条指令。核心要求的第（e）款第四条明确使用自动化工具或类似流程，检查已知和潜在漏洞，并修复，应定期检测，或至少在产品、版本或更新发布之前进行检查。

2021年4月27日，我国国务院第133次常务会议通过了《关键信息基础设施安全保护条例》，其中第三章运营者责任义务第十七条也明确规定，关键信息基础设施的运营者每年至少进行一次 络安全检测与风险评估。

软件供应链的安全被定义为软件供应链上软件设计与开发的各个阶段中来自本身的编码过程、工具、设备或供应链上游的代码、模块和服务的安全, 以及软件交付渠道安全的总和。

软件供应链安全要求从技术防范的角度使用所有手段包括代码的缺陷检测、漏洞挖掘、漏洞危险性识别、软件许可证鉴别、所有权验证、代码克隆检测等来全面无死角的检测软件的安全。

从DevSecOps及软件供应链安全看市场变化

无论是DevSecOps还是软件供应链安全，随着日新月异的应用软件不断覆盖工作生活的方方面面，人们对软件安全问题的认知正发生极大的变化。

总结

1、软件的安全性从开发者（乙方）自发需求发展到采购者（甲方）的强制要求。

2、软件安全性问题已经由企业层面上升为国家安全战略层面。

全面提升软件的安全性是世界数字化进程的必然要求，软件安全要求重心也将从国家重点企业逐步扩展到软件开发各个领域。未来，软件安全产业可预期将进入高速发展阶段。

Wukong软件代码安全检测修复系统

Wukong软件代码安全检测修复系统作为一款静态代码分析工具，支持多种开发语言的安全缺陷检测，帮助用户提升抵御 络攻击、防止数据泄露等安全问题的能力。与飞腾完成产品适配后，中科天齐将结合WuKong在查找、识别、追踪编码安全缺陷的专业能力，进一步为政府、金融、科技、软件研发、工业互联 等众多行业领域更好地提供全方面的数字化转型支撑与安全保障，满足国产化项目要求。

【参考资料】

中国DevOps现状调查 告（2021年）

软件供应链安全白皮书（2021）

浅谈IAST如何赋能企业开发安全

关于软件供应链安全的几点思考

美国《关于改善国家 络安全的行政命令》

软件供应链安全综述

更多安全资讯 请关注 中科天齐软件安全中心