默安科技参与编制中国信通院《研发运营安全白皮书》（附下载） – 作者:默安科技

2019年国家信息安全漏洞共享平台（CNVD）收录的应用程序漏洞占总安全漏洞数量的56.2%；咨询公司Gartner统计数据显示，超过75%的攻击事件发生在代码层面；美国国家标准技术研究院（NIST）的调研数据显示92%的漏洞属于应用层而非网络层。

传统研发运营安全，针对软件应用服务自身的安全漏洞检测修复，通常是在系统搭建或者功能模块构建完成之后以及服务应用上线运营之后，安全介入，进行安全扫描，威胁漏洞修复，相对滞后。安全左移，解决研发阶段代码层面安全问题是至关重要，也是势在必行的。

为此，中国信息通信研究院牵头，华为技术有限公司、深圳市腾讯计算机系统有限公司、阿里云计算有限公司，以及杭州默安科技等多家公司共同编制了《研发运营安全白皮书》（以下简称“白皮书”），用系统化、流程化方法梳理软件应用服务研发运营全生命周期安全及发展趋势，不仅有助从业者提升对软件应用服务研发运营安全的理解，对于促进行业共识及合作也具有积极的指导意义。

该白皮书提出研发运营安全体系的概念，梳理了全球研发运营安全的发展现状（政策、标准、最佳实践等），并对该体系进行了详细介绍，同时还总结了研发运营安全的发展趋势以及国内知名企业的优秀实践案例。

 研发运营安全体系涵盖了从管理制度到软件应用服务全生命周期的安全，具备以下四大特点：

//覆盖范围更广，延伸至下线停用阶段，覆盖软件应用服务全生命周期；

//更具普适性，抽取关键要素，不依托于任何开发模式与体系；

//不止强调安全工具，同样注重安全管理，强化人员安全能力；

//进行运营安全数据反馈，形成安全闭环，不断优化流程实践。

研发运营安全架构体系

作为欺骗防御与开发安全领域的先行者，默安科技结合领先的安全理念和丰富的实战经验，推出包含“左移开发安全DevSecOps”与“智慧运营安全AISecOps”的下一代企业安全体系，与本次白皮书提出的研发运营安全架构体系理念非常吻合。

默安科技的下一代企业安全体系，贯穿完整业务生命周期，涵盖左移开发安全与智慧运营安全两大领域，凭借完整“平台+工具+服务” 的SDL/DevSecOps全流程解决方案，抓源头、治漏洞，灭风险，为政企数字化业务安全赋能；以在国内率先发布并落地的欺骗防御为突破口，智能化整合安全数据与防御能力，形成集检测、响应和决策于一体的安全运营体系。

目前，默安科技累计已为政府、运营商、金融、快递物流、能源、教育、高端制造等多个领域提供安全保障，其中既包括多家大型政企客户，也不乏众多新兴领域的优秀企业。

▲《研发运营安全白皮书》下载方式：关注“默安科技”公众号，后台回复“白皮书”获取下载链接！

注：本文部分内容引自“云计算开源产业联盟”、“中国信通院CAICT”公众号。

来源：freebuf.com 2020-07-31 17:12:11 by: 默安科技