DevSecOps标杆案例|智能制造国际领导厂商敏捷安全工具链实践
2024-3-15 11:31:27 Author: mp.weixin.qq.com(查看原文) 阅读量:10 收藏

某智能制造国际领导厂商是涵盖智能家居、楼宇科技,工业技术、机器人与自动化和数字化创新业务五大业务板块为一体的全球化科技集团,连续入选《财富》世界500强,每年为全球超过4亿用户、各领域的重要客户与战略合作伙伴提供产品和服务。

数智化建设转型

应用安全风险不容忽视

在双循环、国产替代、产业升级的大背景之下,该智能制造国际领导厂商积极加大在数智化、IoT化方面的投入,致力于成为全世界智能家居的领先者和智能制造的赋能者。

随着数字化建设程度加深,集团引入DevOps平台对整体应用开发进行自动化管理落地,业务应用安全被提上了议程。

集团业务范围广、应用数量多、发版快,许多项目若在有安全风险的情况下上线,可能会对业务和用户带来巨大的危害后果:

  • 应用漏洞造成业务中断;

  • 用户数据泄露或篡改;

  • 开源许可证带来的法律合规风险;

  • ......

因此,在CI/CD的准出过程中,业务部门希望应用在发版前可进行多维度、高覆盖率、自动化的代码安全测试及合规许可检查,并能实时看到具体的项目应用质量反馈,而这一需求仍存在空白。

引入敏捷安全工具链

构筑下一代积极防御基线

基于自身痛点和市场调研,集团选择引入悬镜敏捷安全工具链,包括源鉴SCA开源威胁管控平台、灵脉IAST灰盒安全测试平台、云鲨RASP自适应云防御平台等,满足其业务应用安全测试、开源风险治理、运行时应用自防护等需求,在实际项目中针对代码质量、系统漏洞数、漏洞修复率、漏洞修复时间等多个指标进行风险治理,有效构建共生积极防御体系。

源鉴SCA开源威胁管控平台:

对接集团Devops平台提供软件安全测试功能调用,基于代码成分溯源引擎、制品成分二进制分析引擎、运行时成分动态追踪引擎、容器镜像扫描引擎等核心能力,为集团及其事业部所有的新建定制应用进行应用开发安全生命周期管理,挖掘开源组件中潜藏的各类安全漏洞,从引入源头、开发过程、运行监控、管理多维度闭环治理开源威胁。

灵脉IAST灰盒安全测试平台:

为集团所有业务系统提供多元化组合的安全测试能力,综合动态污点追踪、交互式缺陷定位、终端流量代理、主机流量嗅探、旁路流量镜像、Web日志学习、启发式爬虫和原创AI渗透启发等技术,提高漏洞发现及处理能力,实现应用组件所有漏洞结果的统一集成管理,防止业务系统带病上线。

云鲨RASP自适应云防御平台:

为集团所有自建产品或可改造的第三方产品提供上线后运营的安全防护能力,基于专利级 AI 检测引擎、应用漏洞攻击免疫算法、运行时安全切面调度算法及纵深流量学习算法,将防护逻辑与防护功能注入应用程序,通过函数级别的虚拟补丁实现重大组件漏洞热修复,为业务提供应急安全风险修复方案,赋能应用出厂自免疫的安全能力。

技术赋能DevSecOps创新实践

打造“安全左移,敏捷右移”标杆示范

1、开源


风险源头治理

在研发的全流程中接入开源组件检测能力,覆盖IDE编码、代码仓库提交、编译打包的制品检测过程,深入分析软件成分、成分中的已知漏洞、漏洞影响范围、许可证合规风险、代码同源率等信息,卡点设置开源组件安全质量的准入准出指标,轻松覆盖各个组件或应用包版本的发布审查,从源头规避开源威胁。

2、漏洞全生命周期闭环管理

源鉴SCA对接源代码管理系统、缺陷管理系统、持续集成工具,自动检测源码包、二进制制品包、容器镜像包、代码仓库,分析其存在的开源组件及组件漏洞。

灵脉IAST在测试阶段引入,基于上下文语义分析可以做到0误报,并具备漏洞链路追踪功能,可完整呈现漏洞污点的追踪情况,可提供详细的漏洞复现及丰富的修复指导信息。


云鲨RASP在生产环节实时监测非法操作和攻击行为,为应用程序提供0day漏洞防护,并支持自定义子补丁对业务逻辑进行应急修复。

各产品对接集团SOC类平台,漏洞信息联动,实现安全事件统一监测,达成安全缺陷持续反馈、在业务上线前消减90%以上的中高危漏洞和全生命周期的漏洞管理流程。

3、贯彻落实DevSecOps安全左移、敏捷右移理念

基于以上SCA、IAST、RASP、PTE平台的自动化安全能力建设,结合以应用安全管理培训、质量安全门禁、漏洞管理办法为核心的管理制度及规范,促进集团内部安全、开发、DevOps、法律等跨部门工作人员共同协作,用最快的速度和规模将安全策略分配至每个流程中的关键人员加以执行,并在上线后建立安全持续运营过程,真正将安全要求和安全能力融合到研发运营全流程、践行左移安全和敏捷右移核心理念。

4、无缝对接用户业务环境

集团内部存在大量自研DevOps工具、业务依赖环境复杂、系统并发量大等特性,因此,悬镜采用多环境部署实现业务全覆盖,全线产品高可用集群化部署,满足高并发的性能要求;配合DevOps部门实现集成对接,从而无缝升级为DevSecOps流程,在不影响原有效率、流程的同时显著提升安全能力。

悬镜安全原创专利级“全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报服务”的第三代DevSecOps数字供应链威胁管理体系,至今已广泛应用于金融、车联网、通信、能源、政企、智能制造和泛互联网等数千个行业标杆用户,并先后被中国信通院、北京信创工委会、证券基金行业信息技术应用创新联盟等权威组织机构评为优秀解决方案案例。悬镜安全将持续为用户提供覆盖数字应用全生命周期的DevSecOps敏捷安全治理解决方案,助力用户实现数字化转型和业务安全发展,持续守护中国数字供应链安全。

推荐阅读

关于“悬镜安全”

悬镜安全,起源于北京大学网络安全技术研究团队”XMIRROR”,创始人子芽。作为数字供应链安全开拓者和DevSecOps敏捷安全领导者,始终专注于以“代码疫苗”技术为内核,凭借原创专利级”全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报服务”的第三代DevSecOps数字供应链安全管理体系,创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。


文章来源: https://mp.weixin.qq.com/s?__biz=MzA3NzE2ODk1Mg==&mid=2647790091&idx=1&sn=2ba130f27b2525909230264fe511135a&chksm=87709a5cb007134a75df2f64737e86097fdd32f7424911cb13438293512fc83412e1930ce058&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh