权威认可
日前,由中国信息通信研究院主办的2024 XOps产业创新发展论坛在北京召开,大会以“研精极「智」,运筹千里”为主题,开展2024 XOps“领新”优秀案例征集活动,悬镜安全携手中国地震局第二监测中心,其DevSecOps敏捷安全治理实践从众多案例脱颖而出,成功获评“研运安全(DevSecOps)卓越保障案例”。
XOps“领新”优秀案例评选活动旨在通过总结和推广XOps产业发展的优秀成果,推动企业IT运营转型,促进XOps技术、产品及相关产业创新。本届评选活动覆盖XOps领域内的十余个细分方向,经过权威专家团评审及线上答辩,最终评选出拥有自主知识产权、技术水平领先、质量稳定可靠、具有较强研发运营效果与效率提升影响的优秀案例实践,其中研运安全(DevSecOps)方向仅有4个。
悬镜敏捷工具链创新助力
落实地震行业网络安全新形势新要求
近年来网络安全事件频发,中国地震局党组高度重视网络安全,强调要准确把握新形势新任务新要求,全面推进地震系统网络安全和信息化工作。中国地震局第二监测中心(以下简称“中心”)肩负着国家地震监测数据质量监控、地震灾害风险防治、防震减灾公共等服务的信息化支撑,承担地震预测预报预警技术软件中试平台建设运维、行业云平台建设运维、中心门户网站技术保障等重大任务。中心引入大数据、云计算等全新技术架构,应用升级迭代频率较高、开发模式复杂、覆盖范围广、时效性要求高,如何将安全无缝融入现有研发运营体系、保障敏感的地震数据资产和业务应用系统不受威胁成为中心亟需解决的痛点。
中心在结合人员管理体系、制度流程的基础上,引入悬镜敏捷安全工具链,包括源鉴SCA开源威胁管控平台、灵脉IAST灰盒安全测试平台、灵脉SAST白盒代码审计平台、云鲨RASP自适应云防御平台等,无缝集成现有研发运营平台,落实源码安全管控、开源风险治理、敏感数据防泄漏、运行时应用自防护等安全能力建设,有效构建覆盖软件应用服务全生命周期的研运安全一体化实践治理体系:
中国地震局第二监测中心DevSecOps研运安全架构流程1
开源组件风险治理
地震业务系统可能包含多种开源组件和第三方库,这些组件可能存在未知的安全风险或版本更新带来的兼容性问题。中心在研发的全流程中接入源鉴SCA开源威胁管控平台,深入剖析软件产品的组成结构,识别并追踪其中的所有第三方组件及其版本信息、许可证信息,定期检测是否存在已知的安全漏洞、漏洞影响范围,并提供相应的升级建议,从源头规避避免因依赖项的问题导致整个系统的运行效率降低或出现安全漏洞。
2
源码安全管控建设
基于灵脉SAST白盒代码审计平台,平台定期自动化检测软件源代码中可能导致严重缺陷漏洞和系统运行异常的安全问题、程序缺陷,并准确定位告警,有效帮助开发人员消除代码中的缺陷,尤其是针对预警信息发布终端等功能准确性、时效性、信息安全性要求极高的代码,以及地震分析预报会商技术系统等具备快速迭代开发、反复集成联调特征的代码,建立可持续的源码版本管理模式,规避源码引起的质量缺陷和安全风险,形成面向地震行业专业应用系统的源码管控能力。
3
漏洞全生命周期管理
中心综合应用灵脉SAST白盒代码审计平台、灵脉IAST灰盒安全测试平台等工具,在应用上线前实施多维度的业务安全测试,深入挖掘潜藏的各类安全漏洞和业务逻辑漏洞,包括但不限于OWASP TOP10、水平越权、垂直越权、批量注册、验证码绕过及短信轰炸等,并提供详细的漏洞复现及丰富的修复指导信息;同时基于云鲨RASP自适应云防御平台对运行时应用实行常态化监测,最后将检测结果统一推送至漏洞管理平台,设置跨团队的工作流并跟踪漏洞处理状态,实现一站式自动化漏洞风险闭环管理。
4
敏感数据安全防护
地震业务系统通常涉及国家机密、科研成果以及敏感公众信息,数据安全性和保密性关乎国家和社会的安全稳定。中心基于运行时插桩在业务应用内置敏感数据监测机制,明确各业务场景采集的敏感数据清单,并对敏感数据分类分级方式管理、追溯敏感信息从输入至输出的完整调用链路,从而防止敏感信息泄露或被恶意篡改,保障地震监测预警工作的正常进行。
中国地震局第二监测中心基于悬镜敏捷安全工具链的DevSecOps敏捷安全治理实践,充分贯彻落实了DevSecOps安全左移、敏捷右移理念,在软件应用服务开发源头便引入安全能力,并完整覆盖开发需求分析阶段、设计阶段、研发阶段、验证阶段、发布阶段、运营阶段的软件应用服务全生命周期,在实际项目中针对代码质量、系统漏洞数、漏洞修复率、漏洞修复时间等多个指标进行自动化风险治理,确保业务应用系统和敏感数据资产的“可视、可管、安全、可信”,在赋能数字应用原生安全的同时大幅降低安全成本,并在常态化安全运营、确保业务应用运行稳定的场景下,实现安全技术、安全策略覆盖关键基础设施和应用,构筑内生积极防御体系从而拦截日趋复杂的攻击入侵威胁,为行业树立了DevSecOps研运安全典范标杆。
截至目前,悬镜安全“全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报预警服务”的第三代DevSecOps数字供应链安全管理体系已创新赋能于金融、车联网、能源、通信、政企、智能制造和泛互联网等数千家行业用户,全栈产品连续四年市场应用率第一。悬镜安全将持续聚焦DevSecOps数字供应链安全领域,敏捷迭代、实践创新,帮助用户构建安全、高效、智能的企业数字应用,守护中国数字供应链安全。
+
推荐阅读
关于“悬镜安全”
悬镜安全,起源于子芽创立的北京大学网络安全技术研究团队”XMIRROR”,作为数字供应链安全开拓者和DevSecOps敏捷安全领导者,始终专注于以“代码疫苗”技术为内核,凭借原创专利级”全流程数字供应链安全赋能平台+敏捷安全工具链+供应链安全情报预警服务”的第三代DevSecOps数字供应链安全管理体系,创新赋能金融、车联网、通信、能源、政企、智能制造和泛互联网等行业用户,构筑起适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的共生积极防御体系,持续守护中国数字供应链安全。