比瓴科技创始人付杰：构建持续高可运营的软件安全体系

　　2022年12月13日-14日，由中关村金融科技产业发展联盟、中关村互联网金融研究院、中国互联网金融三十人论坛主办的“2023第十届中关村金融科技论坛年会暨2022‘光大杯’中关村番钛客金融科技国际创新大赛颁奖典礼”在“云端”举办。论坛年会为期两天，包含主题演讲、圆桌对话，发布优秀案例、金融科技与数字普惠报告、《web3.0》图书、中关村金融科技30强、金融科技竞争力报告等多个重要板块。50余位行业专家齐聚一堂，共谋金融科技领域的前沿热点，共克时艰、共话未来！

　　比瓴科技创始人兼CEO付杰在13日软件供应链安全专题论坛发表题为：构建持续高可运营的软件安全体系演讲。他指出：近年来，DevSecOps及SDLC成为金融行业的热点话题，银行、证券、保险、基金行业的众多企业均在陆续建设、完善、迭代自己的软件安全开发体系。尽管DevSecOps的理念已经被广泛接受，但是金融机构的实践过程却面临诸多困难。为帮助金融企业快速构建DevSecOp体系，提升软件安全开发技术水平及运营效率，比瓴科技在2022年推出了CAS持续应用安全平台，完整体现了统一平台、自动编排、统一数据中心这三个核心理念。CAS的核心理念是构建一套高可运营的软件安全开发体系，一方面赋予企业以自定义的方式灵活开展软件安全活动，另一方面大幅度降低软件安全建设成本，运营成本及安全人才依赖，让DevsecOps的理念可以在企业真正被实践及大范围应用。

　　发言内容 （以下内容根据现场速记整理）

　　一、DevSecOps在金融机构实践现状及痛点

　　近年，DevSecOps（开发、安全和运营）及SDLC（系统开发生命周期）成为金融行业的热点话题，银行、证券、保险、基金行业的众多企业均在陆续建设、完善、迭代自己的软件安全开发体系。通过建立面向软件开发过程的安全体系，构建安全左移能力，将安全合规检测嵌入到系统开发和整体安全中，在业务敏捷的前提下持续保障应用安全成为金融行业的普遍共识。

　　尽管DevSecOps的理念已经被广泛接受，但是金融机构的实践过程却面临诸多困难，归纳起来可总结为以下几点：一是体系建设周期长，迟迟不能在实际软件开发项目中被大规模应用；体系建设所消耗的人力大，无论是开发部门，还是安全部门，都因资源问题导致项目内部推行困难；研发对于改变现有工作流程及习惯排斥；安全成果难以量化，更难以持续优化。

　　金融机构在应用过程中的挑战及背后深层次原因可总结为：安全工具碎片化，工具缺乏整合及统一管理；安全活动线下化，安全活动的开展大幅度依靠线下流程及人员协同；自动处置能力缺乏，安全管理，安全分析及安全处置等工作大幅度依靠专家经验及专业人才；安全数据分散且缺乏统一分析，更未形成基于数据的度量、决策及持续反馈优化能力。以上能力的缺失，都极大降低了企业DevSecOps的运营效率，也妨碍了科技企业在软件开发团队大范围推广Devsecops体系。

　　通过对国内外领先企业成功经验的分析，一套高可运营软件安全开发体系普遍具备以下特性。基于统一安全平台，实现对人，项目，技术的拉通管理；利用ASOC技术，实现对安全工具的自动调度；构建企业统一安全数据中心，实现对安全数据的汇总，关联分析及智能决策。

　　二、比瓴科技CAS持续应用安全平台

　　（一）CAS平台简介

　　为了帮助金融企业快速构建DevSecOp体系，提升软件安全开发技术水平及运营效率，比瓴在2022年推出了CAS持续应用安全平台，完整体现了统一平台、自动编排、统一数据中心这三个核心理念。CAS提供了以自动化安全剧本为入口及使用方式，统一安全数据中心为决策依据，多类型安全扫描工具为手段的一体化安全能力平台，同时实现了与当前主流软件开发工具链的完美兼容耦合。

　　基于CAS平台，企业不仅可以直接获得多维度的软件安全扫描能力，更加可以搭建起一套高效率软件安全运营体系，在不干扰原有研发流程的前提下，把安全活动自动嵌入工程师熟悉的CI/CD工具链。

　　（二）CAS平台关键安全能力

　　在软件开发的需求阶段，CAS平台内置了一套完整的的软件安全开发知识库，覆盖了主流应用开发技术栈、业务场景、监管要求及安全技术规范。软件开发团队中的需求分析人员，可通过问答引擎的方式，完成对软件业务场景的业务上下文分析及攻击面分析，进而实现自动化、轻量化的业务威胁建模。CAS平台会基于威胁建模结果，精准输出对应的应用开发安全需求、安全设计及安全测试指引，帮助软件开发团队在早期阶段即识别安全风险及合规要求，降低残留到测试环节的安全风险数量。

　　面向软件开发过程中的安全管理、安全处置、安全响应要求，平台提供了海量安全处置剧本模版。安全剧本把原本由人开展的运营活动，抽象为自动处置流程，实现自动触发、自动扫描、自动分析及自动决策。用户即可直接使用平台内置剧本，也可基于企业实际情况修改或重新编辑安全剧本。基于安全剧本带来的自动化安全运营能力，企业可降低60%以上的整体人力及85%以上的安全管理投入，平台仅在必要环节才会以消息通知、人工审核等方式要求人工介入。

　　CAS通过安全剧本的方式，实现了开发过程的安全活动自动化。为了达成这一点，平台对软件开发过程中涉及的开发工具、安全工具、协作管理工具实现了资源抽象及能力封装，用户可通过简单的资源实例化即可使用，避免的耗时复杂的对接整合工作，做到了资源可见即可用。

　　除了安全开发知识库及自动化运营，CAS平台内置多维度，多类型软件安全扫描引擎，从扫描能力上，CAS覆盖了代码、开源代码、容器、IaC云原生应用四层架构，从扫描阶段上，CAS覆盖了代码引入，代码构建，代码发布环节，实现了软件供应链全链条覆盖。除了平台内置的安全扫描能力，企业也可以利用平台自动接入企业已有的第三方扫描工具，并利用平台提供的ASOC技术，实现统一编排调度及结果分析。

　　CAS平台提供的开箱即可用能力及持续运营属性，也在改变企业的DevsecOps建设模式。相比起原来先单点工具堆叠，后平台集成的模式，CAS让企业可以在第一时间即拥有一套完整的安全体系，并快速在企业内大范围使用。基于平台提供的高可拓展性，企业可在后续持续性迭代单点工具能力，无论是引入新的安全工具，还是替代原有工具，这一切都可以在保持原有运营模式的情况下无感知执行。

　　（三）CAS平台应用场景

　　CAS平台从发布至今，已经在多个大型金融机构成功落地，帮助数以千计的软件开发团队改变原有的安全运营模式。

　　第一个场景是日常软件迭代开发，这也是最为普遍的场景。当前企业在软件开发上，既有传统的稳态模式，也有敏态及混合模式。CAS平台内置了与不同开发模式高度契合的安全剧本，在达成安全左移及生命周期安全管理的同时，差异化实施安全活动、扫描策略及门禁策略，让安全与业务保持同一速度。以经典SDL安全开发剧本为例，剧本通过API的方式被启用，可在代码提交、版本构建的时候实施多维度安全扫描，针对不同节点，剧本会选择不同的扫描工具及扫描策略，同时基于扫描结果实施差异化门禁策略。除了由平台自动处置部分，针对需要人工介入的工作，平台会以邮件、JIRA任务、企业微信等方式通知相关人员，同步信息，协同工作。

　　第二个场景是开源漏洞响应。软件供应链安全及开源治理是当前金融机构关注的热点，在过去2年中也发生了多起因开源组件漏洞导致的安全事件。开源风险防范及需要企业具备对应的安全技术，如SCA，也需要一套高效、完整的处置方法。大部分的金融机构都不缺乏针对开源漏洞的扫描能力，但是在开源漏洞的处置方式上侧较为低效。借助于CAS提供的开源漏洞处置剧本，平台可实时监听开源漏洞情报，当特定类型或等级的开源漏洞发生时，平台首先会调用SCA工具，对企业制品库、代码仓库进行扫描，并基于扫描结果在制品库、代码仓库、流水线设定安全门禁，做到实时发现及实时封禁。同时，平台会对当前企业的开源风险处置过程及现状做统一数据展示，做到企业整体风险可视化。

　　第三个场景是关于外发软件中的敏感信息检查。外发代码不仅仅是软件企业的特有场景。这里面即包含了因为代码泄漏，也包含了因为业务需要而展开的对外合作，开发SDK及APP发布。这些对外发布的代码中，可能包含了一些不希望对外披露的敏感信息，而敏感信息及可能存在于代码中，也可能存在于配置文件，日志文件等软件工程文件中。

　　CAS平台内置了针对软件外发场景的敏感信息检查剧本，可在代码提交，代码构建及软件发布环节，针对源代码、配置文件、日志文件、基础设置配置等信息做检查，发现隐藏在软件工程中的硬编码密码，服务器账号密码，token， session， 令牌，证书，硬编码交易参数等敏感信息，杜绝因软件外发导致的敏感信息泄漏及数据泄漏风险。

　　除了上面介绍的三个典型场景，CAS还提供数十类安全场景剧本，包括：周期性安全审计、例行代码扫描、开源组件引入管理、周期性安全报告等。

　　CAS平台帮助构建了一套泛可运营的软件安全能力，在这套运营体系下，安全团队专注于设计更多适应企业实际管理需要的安全剧本，开发团队专注于业务达成，而安全则以自动化的方式被透明执行，这也是CAS平台的核心理念及价值主张。

　　新浪声明：所有会议实录均为现场速记整理，未经演讲者审阅，新浪网登载此文出于传递更多信息之目的，并不意味着赞同其观点或证实其描述。

海量资讯、精准解读，尽在新浪财经APP

责任编辑：邓健