默安科技作为主力玩家入选《DevSecOps能力指南》 – 作者:默安科技

近日，国内数字安全领域第三方调研机构——数世咨询发布《DevSecOps能力指南》研究报告，全方位分析了DevSecOps的技术背景、价值与误区、相关工具及关键能力等。此外，该报告还精选了4家厂商的实践案例，并在深度分析DevSecOps国内市场的基础上输出能力点阵图等市场分析成果。

默安科技作为中国DevSecOps市场的主力玩家入选能力点阵图，排名靠前；同时，默安科技在某大型制造企业落地的DevSecOps案例获得精选展示。

案例速览

场景介绍

企业C是制造业进行数字化转型的典范，积极开展高新技术研究和产业化探索，在《2020中国企业500强》和2020年《财富》世界500强排行榜中的排名十分靠前。在加快业务转型升级的同时，如何确保数字化业务系统的安全性是该企业实现快速发展的当务之急。

客户DevSecOps需求

企业C开发项目很多，但是开发质量参差不齐，许多业务上线后发现存在各类安全漏洞。不但开发人员耗费大量时间和精力进行修复，同时业务系统被攻击的安全风险还可能影响正常的对外服务，造成企业名誉受损和经济损失。

企业C需要能在快速开发的节奏下防范安全事件的发生，减少系统上线前的应用安全漏洞、降低漏洞修复成本。企业C规划建设完整的开发安全体系，并且要求安全工具能与Jenkins、Jira等平台无缝集成，实现高效测试。同时，建立并实行开发人员能力培养计划，从根源上减少应用安全风险。

解决方案

默安科技根据企业C的开发项目管理体系，将自身的SAST、IAST检测工具与现有的工具链整合，协助客户制定和完善开发过程中的相关流程与规范，辅以安全培训提升人员安全开发能力，构建完善、统一、可跟踪、可度量的开发安全体系。

• 开发安全过程管理流程：默安科技围绕企业C某信息系统的标注与认证、访问控制、会话管理、日志管理、安全审计、文件资源等安全需求进行设计，分析可能存在的安全风险并提供应对措施，完善安全需求设计。此外，结合该企业内部的人员培养体系，提供安全测试规范手册，为安全测试人员提供测试指导。安全测试人员通过查阅该指南可快速掌握Web、iOS客户端、Android客户端安全测试，提升安全开发意识，提高开发效率。

• 安全工具的集成：默安科技根据企业C现有的Jenkins开发管理流程，将自身的SAST与IAST整合到现有工具链中，完善敏捷开发平台的安全管理，为开发、测试和安全管理人员提供自动化工具，实现代码问题提前发现、及时改进与闭环跟踪。

• 开发安全项目知识转移：默安科技还协助企业C根据开发安全项目成果，建设文档管理系统，统一管理各类制度、技术规范、项目材料，提升内部团队沟通协作效率。同时，组织相关开发、安全人员进行针对性的安全培训赋能，培训内容包括开发安全意识、安全设计与编码、安全需求评估等，帮助其提升安全开发能力。

安全能力价值

默安科技在本案例中主要为企业C提供了以下安全价值：

• 满足国家网络安全法、等级保护制度关于主机、数据、应用安全的合规监管要求；

• 协助建立开发安全管理体系，细化立项、需求、设计、编码、测试、上线各阶段的开发安全工作流程与职责，规范执行开发安全设计、安全编码与检测、提升应用安全防护能力，保障业务安全性和可靠性；

• 将安全漏洞发现前置到编码和测试阶段，不仅提升了系统安全性，还极大地降低安全修复成本；

• 在对现有业务影响最小化的前提下，统筹建设、合理规划，完成安全工具平台建设，实现安全漏洞自动化的发现与线上闭环管理，提升了开发团队的工作效率。

客户评价

“默安科技的DevSecOps解决方案协助我们完成了从0到1的开发安全体系建设，不仅满足了网络安全法、等保2.0等法规标准的要求，降低了业务上线后的安全合规风险，同时默安科技的安全工具还能与现有Pipeline流水线无缝对接，执行自动扫描，提前发现并处置大量安全漏洞，提升漏洞修复效率，缓解业务上线后的安全运维压力。”

——该制造企业CISO

报告精读

注：以下内容转自“数世咨询”官方公众号。

报告从DevSecOps工具角度出发，为软件开发方提供DevSecOps工具选购建议和落地指导。

技术应用分析

1. 开发模式从瀑布式到敏捷开发再到DevOps不断演进，但不管何种模式，都需要加入安全因素。安全不仅需要左移，更需要“平铺”，将安全融入整个开发环境和流程，实现持续安全（Continuous Security）。同时“安全无感知”，对开发环境的影响极小也是落地DevSecOps的关键点。传统的软件开发安全工具能否在不同环境中接入各类DevOps平台，是考验DevSecOps工具供应商的一大挑战。

2. 当下值得关注的DevSecOps工具：

安全需求分析、安全测试（SAST、DAST、IAST）、模糊测试、软件成分分析、运行时应用自我保护RASP、安全工具集成中心。

3. DevSecOps安全工具的关键能力：

• 集成能力：安全工具融入DevOps环境

• 自动化能力：安全自动化应与CI/CD自动化相匹配

• 业务结合能力：满足不同行业的合规要求 、创建定制化威胁模型

• 易用性：兼顾开发、运营等业务方的使用体验

产业市场分析

1. DevSecOps在数世咨询定义的市场成熟度，概念市场、新兴市场、发展市场与成熟市场四个阶段中，位于新兴市场阶段。

2. 2020年国内DevSecOps市场规模约在3.41亿元左右，综合各家提供商的判断，预计2021年将达到5.47亿元左右，2022年将达到7.66亿元左右。

3. 目前DevSecOps交付模式可分为四种：单一标准化产品、定制化及运营产品、集成模式以及订阅式服务。四种模式交付比例如下图。

4. 国内各行业用户对DevSecOps的投入情况如下图，排名前三的为金融(36%)、互联网企业(8%)、国防(8%)。

5. 从客户的分布来看，DevSecOps的投入区域最高的是华东区域，占38%，高于华北的29%，同时华南占到了19%。一般而言，安全产品的客户分布占比最高的往往都是华北；而DevSecOps情况不同的原因在于金融行业是DevSecOps的主要先行客户，其在华东（长江三角洲）地区有大量客户群体；同样，由于广州、深圳的金融产业，华南地区在DevSecOps的占比也相对较高。

趋势预测

DevOps概念早已出现，但国内具体实践也不过是在这两三年内开始。许多企业仍处于DevSecOps的试点或建设中状态。未来一两年DevSecOps未必会呈现井喷——正在考虑转型的企业很可能依然会选择观望，而正在转型中的企业也需要时间检验自己的转型情况，衡量是否进一步往DevSecOps方向发展。只有当转型中的企业逐渐看到DevSecOps带来的收益时，DevSecOps市场才会得以扩大。

另外，瀑布开发模式和敏捷开发模式各有优势，仍然适用，因此未来的开发安全会是传统开发安全需求和DevSecOps需求并行的情况。

而在安全越发受到重视的情况下，DevOps平台也有望直接在DevOps平台中预配置一定的安全能力，将DevOps平台演化为DevSecOps平台——这也是当下一类客户的需求，达成安全与开发的双向转型需求。

作者：

技术应用分析师：潘颉阳

产业市场分析师：左晶

来源：freebuf.com 2021-05-18 15:30:56 by: 默安科技