20年研发安全积累，5大研发安全能力让软件“天生安全”

本文分享自华为云社区《20年安全研发积淀，华为云发布5大研发安全能力》，原文作者：灰灰哒。

随着云原生的普及，企业的研发模式也转向了以DevOps为代表的敏捷模式。如何在敏捷模式下做好软件安全，成为企业关注的核心问题。4月25日，在华为 HDC.Cloud 2021大会上，华为云应用平台产品部安全领域产品副总监章可镌发表了题为《20年研发安全积淀，剑指DevSecOps未来》的演讲，分享了基于华为20多年研发安全积累外溢的5大安全能力，以及外溢成云服务后如何与华为云DevOps平台DevCloud协同，让企业实现DevSecOps：在敏捷开发过程中就内置了安全措施，让软件“天生安全，健康成长”，成为企业的竞争力。

DevSecOps是企业软件研发的必由之路

业界长期重视软件上线后的安全防护，而对研发阶段的安全投入不多。2012年，Gartner提出了DevSecOps的理念。其提出正逢“安全左移”的春风在IT界吹拂——即企业越来越意识到，软件应在研发侧“更早”“更快”地发现并处理安全风险，而不是先上线，再花费大量精力在现网安全问题的发现和响应上。据Gartner报告，安全风险越靠近运维侧，则企业要花费的安全成本越高。

因此，在软件产品的设计与开发阶段，就制定安全质量规则、分析安全需求、进行安全设计、按安全要求进行编码、对打包后的软件进行漏洞检测，验证和闭环安全问题；在软件部署及运行阶段，感知安全问题，建立系统性的防护体系，研发和运维阶段无缝衔接，内置安全，是企业软件研发的必由之路。

20年研发安全积累，让软件“天生安全”

与任何事物的发展一样，华为的研发安全能力也是伴随业务发展中不断出现的安全问题逐步成型的：90年代，华为主要聚焦电信领域安全；2000年到2011年，华为业务逐步横跨整个ICT领域，安全问题变得多样化，华为开始形成各类安全规范和工具链以有序应对安全挑战；2011年到2017年，华为继续增强安全规范和工具的投资，形成完善的研发安全流程和工具链；2017年到2018年，应对内外客户的安全需求，从华为“自己安全”转变为“帮助客户安全”，要在产品和解决方案中构筑安全竞争力成为公司常态；2018年至今，则在内外重大事件的影响下，从“安全”升级到“可信”，在软件中构筑可信能力成为公司基本要求。

华为5大研发安全能力

在这20多年的漫长演进中，华为积累了深厚的研发安全文化、流程和工具链，经历了超大规模复杂场景的考验，比如，单代码安全扫描量，每天就超过500亿行。这些积累，在2021年将逐步开放为“4+1”能力：四大研发安全能力域，一个企业级专家服务，这“4+1”又组成了完整的华为云研发安全服务：

1. 安全设计域：产品设计期就进行威胁建模，识别并消减风险

在系统需求分析和设计阶段，怎样才能使产品更安全？在什么样的子系统、模块、数据流之间考虑安全风险？识别了风险后，怎么消减？

华为云开放的安全设计域，对STRIDE方法论进行升级，用于系统威胁分析，提供分析维度、参考案例，辅助进行安全设计，识别风险；识别风险后，智能推荐消减措施及测试用例，输出分析报告；内置的华为长期积累的安全风险识别方案、消减方案、设计方案、测试用例、场景样例与知识，极大降低企业安全设计门槛。

2. 隐私合规域：解读GDPR等法律法规，帮助企业满足合规要求

隐私保护法规条目众多，如何才能方便地将法规要求转化为系统设计需求？

华为云开放的隐私合规域，根据对GDPR等的解读与业务分析，提供工具，生成隐私合规报告、隐私声明，帮助企业合规设计；根据隐私合规设计方案，自动生成和执行测试用例，最后给出隐私合规验证报告；内置的基于华为终端、智能汽车等业务打磨出的隐私设计框架，帮助企业快速形成行业解决方案并复制至其它行业。

3. 代码检查域：多种源码安全静态检查，将风险拦截在编码阶段

企业和个人开发者一般专注于软件功能的实现，很少具备专业的安全背景，如何将安全问题尽可能拦在编码阶段？

华为云开放的代码检查域，支持：

（1）拦截多种语言安全问题

支持C/C++/Java/JS/Python/Go等多语言检查；支持OWASP Top10和CWE安全编码问题、数十个华为编程规范中的典型安全问题检测，有效拦截缓冲区溢出、空指针引用、危险函数、安全函数误用、各类注入等安全问题；可在代码编写时（IDE级）实时分析，提交时（门禁级）进行一般问题提前处理，版本全量构建（版本级）时融入流程触发自动安全扫描，“三重门”，深度拦截代码安全问题。

（2）高效闭环发现的安全问题

支持并行扫描，重量级扫描每小时可达百万行，日吞吐量过百亿行；支持扫描告警屏蔽、屏蔽结果可继承、智能误报识别、误屏蔽智能发现；多维度数据，可发现组织内的安全编码问题分布、趋势，呈现“代码安全态势”，及时且宏观的识别风险，确保安全工具正确应用。

（3）内置行业级、可升级的规则集

提供行业特有的安全编码扫描规则集；聚焦最新安全问题，动态扩展检查能力；可灵活集成第三方安全检查引擎，统一报告、统一告警处理，也可被集成至第三方持续集成/持续发布流水线中。

4. 漏洞扫描域：多场景高精度漏洞扫描，走好上线前最后一公里

没有绝对的安全，当研发已经尽力，软件即将打包发布上线，是否就没有安全措施可以做了？有，这就是上线前的最后一公里：软件漏洞扫描。

华为云开放的漏洞扫描域，支持：

（1）全场景漏洞覆盖

覆盖Web、主机、镜像、二进制、终端应用的全场景漏洞扫描能力，支持华为、OWASP等业界优秀实践，支持等保2.0等标准。

（2）专业的修复建议

提供典型Web漏洞精准检测，在CVE漏洞评估方面更贴近真实威胁；在APK开源组件扫描和信息泄露检测方面，具备更精准的检测能力，因此可以提供更专业的修复建议。

（3）可升级的漏洞检测能力

聚焦最新安全漏洞，动态扩展扫描能力；可灵活集成第三方漏洞扫描引擎，统一报告展示，支持漏洞去重，也可被集成至第三方持续集成/持续发布流水线中。

5. 专家服务：让企业告别“有工具，没文化”的安全窘境

安全工具链是研发安全体系的基础，但光有工具，没有融入到企业现有文化和流程中，则工具的作用将大打折扣。如何实现从安全工具链到流程到文化层层构建研发安全体系？

华为云将开的放企业级研发安全专家服务，提供检查能力定制；工具工程能力定制；安全运营体系顾问；工具评估标准设立等，帮助企业不仅用好安全工具链，更深刻认识安全流程如何协调团队和工具的使用，最后形成牢不可破的安全文化，将安全融入企业的基因中。

华为安全能力融入DevCloud，让企业落地DevSecOps

作为国内领先的DevOps平台，华为云DevCloud是源自华为30年、国内唯一多业务形态、多研发模式的最佳研发实践，能让软件开发和构建的效率提升10倍，已服务100多万开发者，覆盖32个软件园区，在权威机构IDC发布的报告中市场表现与产品能力均排名中国厂商第一。

而华为已开放的运维安全能力和服务，加上即将开放的研发安全能力和服务，除独立提供服务，还与DevCloud深度融合，为企业带来国内首个DevSecOps平台，让企业便捷的落地DevSecOps理念，在软件开发过程中就内置了安全保护，让软件“天生安全，健康成长”，成为企业的竞争力。

戳我了解华为云DevCloud

点击关注，第一时间了解华为云新鲜技术~