企业软件安全这一议题是家长期关注的一个方向,他们希望自己和其他受到类似影响的公司可以获得2000亿美元的赔偿。,越来越多企业意识到安全在整个软件生命周期的重要性,因此本次访谈邀请到范亚铃范老师给我们做一期关于企业软件安全的经验分享
范亚铃
有20年IT领域从业经验,专注于软件全生命周期体系、软件研发项目管理等,服务的客户有海外超型金融企业、央企、以及上市民营企业等,尤其对日本的精益管理和品质管理具有深刻的理解和量的实践经验。
啪仔:范老师,鉴于您对软件全生命周期有着非常深刻的了解,想请您谈一谈近年很火热的DevSecOps概念。
范亚铃老师:我们首先需要了解,软件的安全问题是从软件诞生那刻起就相伴而生的。最初软件安全被纳入软件质量分进行测试和管理,那时软件安全还不是一个独立的概念,但是随着互联网的蓬勃发展,软件的作用和影响力也飞速扩展,安全问题所带来的风险远远超出了一般质量问题的影响范围,因此安全问题独立了出来。
DevSecOps是作为DevOps的延伸概念所流行发展起来的一个热门需求,自2012年被提出后,逐步吸引业界目光,成为近年来的热门概念,受到家的广泛重视。
众所周知,DevOps理念包含人员和运维人员,并不包括安全人员。但在实际软件过程中发现,人员会遇到相应的安全问题,一是软件自身存在的错误和缺陷引起的安全漏洞,二是来自外的攻击。而良好的软件过程管理可以很好地减少软件自身缺陷,并有效抵御外的攻击,所以安全越来越被家重视。于是DevSecOps顺势而生,兼顾安全与效率,本质上与一般的软件安全诉求无异,区别在于敏捷下安全的实现方式。
DevSecOps通过一套包含了人文、流程、技术的框架和方法,把安全无缝地嵌入现有流程体系中,把需求方、业务方、安全方以及运维方联系起来统筹协作,共同背负起安全的责任。
企业落地实施DevSecOps本身是一个工程性问题,而非技术性问题。首先需要考虑综合投入产出比,对于中小各型企业来说,基于系统的重要性和所需的安全强度不一样,所需投入的成本以及投入时间也不一样,落地需要视情况而分为不同级别,不同程度来实行落地。
其次,借鉴软件工程管理“过程控制、预防为主”的原则,安全应该在软件过程中内建,而不是“亡羊补牢”:先、再检验、最后修补。
啪仔:老师您认为DevSecOps目前在国内的发展趋势是什么样的呢?
范亚铃老师:毋庸置疑,不论是在金融行业、医疗行业,还是其他行业,DevSecOps都会变得越来越重要。但是对商业企业而言,成本是永恒的中心,都希望以尽可能小的成本,以更好的效率来满足安全的需求,所以在越来越多的DevSecOps落地实践中,成本考量会越来越被重视。
除了成本考量,实际上企业的业务特点与系统体量也是不一样,因此企业落地DevSecOps的侧重点也各有不同。例如,金融行业偏稳妥型,由于较强的监管限制,需要符合合规体系,对于安全性的要求非常高,所以它的技术要求远高于速度要求。医疗行业偏嵌入式,防护方式和软件形态都与纯互联网化的概念有所不同。人工智能行业仍在探索过程中,通过测试、方等来积累安全事故经验。相信DevSecOps会在量的落地实践中积累丰富的经验,方便以后企业在应用时更好地规避误区。
未来,DevSecOps将会作为一个理念、基础,糅合企业及行业实情后,再通过对细枝末节和侧重方向等的修订,形成一套符合企业自身情况的DevSecOps落地方案。
啪仔:对于近期的网络热点,比如滴滴、boss直聘等被网络安全审查,数据安全问题引起了众的广泛关注,您认为数据安全与软件安全之间有什么联系吗?
范亚铃老师:从不同层面来说,它们之间既有关系,又没关系。
从广义角度来说是有联系的。数据存于信息系统中,信息系统里一定是包含软件的,软件是软件工程师的,藕断丝连,不可谓毫无联系。
另一方面从团队的角度,它们是没有联系的。软件团队需要做出符合需求方需求的软件,保持“供需”一致即可,数据安全并不在软件安全的考量范围内。 但是,从近期滴滴与boss直聘等互联网公司被安全审查一事,除了已知的信息,我们还能看出一些新的信息。
第一是软件安全的重要性与复杂性。软件一直在完善功能,整个生命周期的技术一直在复杂化,正如前文所说,它的影响力在扩展。因此在安全方面,从近期的一系列举措,包括法律的出台、草案的公布等可以明显看出对于软件安全的重视程度,对于、企业来说,软件安全都变得越来越重要。
第二是软件的安全问题——安全左移。左是指软件生命周期的早期,也就是设计、编码阶段。安全问题不仅是技术人员需要考虑的问题,业务人员甚至公司的运营者也需要懂安全和安全法规。软件的安全应该从设计开始就纳入考虑范围,软件不只是代码,信息资产已经泛化,数据、个人信息等都可纳为数据和资产。
软件除了是技术问题,也与业务相关,软件的需求分为功能性需求与非功能需求。功能性需求即根据软件的功能要求什么就提供什么,因为功能缺失会导致软件无法正常运行,所以功能性需求是无法隐藏的,这一点软件团队一直非常重视。非功能性需求即安全、性能、用户企业等隐蔽性的问题,是自主研发的功能,对于人员的技术要求更高,价值也比功能性需求要高。
因此,做好软件的前提是做好安全与业务、运维等联动,将安全作为企业文化覆盖到各方门。
啪仔:在网络安全审查的要求下,中小企业是否有什么注意事项?
范亚铃老师:主要有两点:一是经营理念的悖论,安全团队与安全防护应该成为企业的一个基本能力,不再与和运营分割,以文化变革为基础,而不仅仅依赖规章制度。
二是避免后补式安全,在全生命周期的开始就重视安全,把安全意识浓缩到企业里,在每一步都做好安全防护。啪仔:范老师,能否可以给在职或即将进入安全领域的同学一些建议?
范亚铃老师:安全是一种意识,一种概念,如果想要深入地学安全,需要一定的测试的基础,多人员无法安全编写代码,而安全团队也很少有会写代码的成员。未来全团队的安全意识教育普及是必然形势,因此在学信息安全之前需要对有一点基础,早期学过程中可多看技术性的书籍,打好扎实的基础,树立正确地意识观念。
- End -
免责声明:文中图片均来源于网络,如有版权问题请联系我们进行删除!
