7月27日,由中國信通院、中國通信標準化協會聯合主辦的2021年可信云大會在京召開。作為云計算領域最具權威性的行業會議,本年度的可信云大會發布了數十項云計算領域的評估結果以及一系列行業標準。

其中,圍繞研發運營安全主題,中國信通院聯合十余家云計算、安全廠商制定了《面向云計算的研發運營安全工具能力要求 第2部分:靜態應用程序安全測試工具》、《面向云計算的研發運營安全工具能力要求 第3部分:交互式應用程序安全測試工具》系列行業標準,在本次大會上正式發布。騰訊安全是標準起草單位之一。

聚焦軟件安全,研發運營安全工具系列標準發布

伴隨著5G、云計算、人工智能、大數據等技術日新月異,數字化轉型進程逐步推進,軟件應用服務已成為主流形態然而軟件安全也愈發成為業界關注的焦點。近年來,安全事件頻發,小到企業安危、個人隱私泄露,大到國家安全,究其根本,多是軟件應用服務自身存在安全漏洞。傳統研發運營模式中,研發與安全割裂造成安全影響研發效率,是導致安全事件發生的主要原因。

在此背景下,由中國信息通信研究院牽頭,聯合騰訊安全等十余家單位共同制定的《面向云計算的研發運營安全工具能力要求 第2部分:靜態應用程序安全測試工具》、《面向云計算的研發運營安全工具能力要求 第3部分:交互式應用程序安全測試工具》系列行業標準于本次2021可信云大會中發布,深度聚焦軟件安全領域,通過研發運營安全工具系列標準的制定,將自動化安全工具、設備融入軟件應用服務的全生命周期,適應當前的開發模式,規范研發運營安全。

目前可信研發運營安全系列評估包含三大部分,可信研發運營安全能力成熟度評估、靜態應用程序安全測試工具能力評估(SAST) 及 交互式應用程序安全測試工具能力評估(IAST)。可信研發運營安全能力成熟度評估主要關注研發安全,從九個階段對企業的研發運營安全能力從全生命周期維度進行管理制度及軟件應用服務全生命周期要求階段的評估,在本次大會上進行了評估成果的展示。

對于用戶層面的補齊,此次發布最新的靜態應用程序安全測試工具能力評估及交互式應用程序安全測試工具能力評估,則從用戶視角出發,針對安全工具能力及性能進行評估,幫助用戶進行選型參考,具體能力涵蓋掃描檢測分析能力要求、靈活性能力要求、分析輔助能力要求、開發流程嵌入能力要求、擴展性能力要求、兼容性能力要求、部署能力要求、安全性能力要求、服務支持能力要求九大部分,全面完善了研發運營安全體系的建設。

結合多年研發流程標準化經驗,助力行業研發運營安全體系標準建設

騰訊云多年來致力于自身研發體系的標準化和DevSecOps的落地,目前已形成一套完整的研發運營安全解決方案。在云產品安全維度,基于騰訊云的研發運維模式,騰訊安全云鼎實驗室建立了DevSecOps模型并落地實踐,基于一站式DevOps平臺與流程,在項目協同、編碼、代碼管理與分析、自動化測試、持續集成、配置管理、環境管理、制品管理、持續部署、持續運維幾個部分嵌入安全活動。

此外,騰訊云通過安全工具鏈建立安全門禁,實現安全度量,從不同階段和維度收斂安全風險,并實現部分場景的默認安全,以此來實現騰訊云產品的出廠安全,保證云服務的安全可靠性。基于自身多年云服務研發體系的建設經驗,騰訊安全云鼎實驗室參與了此次運營安全工具系列標準的起草,向行業輸送了大量實踐經驗,助力行業安全水平的提升。

本次大會上,騰訊云拿下了5項大獎和10項可信云認證。截至目前,騰訊云已經在云主機、云存儲、云數據庫等各細分領域評測中,獲得52項可信云認證,數量位居中國云廠商第一。騰訊云還將繼續推動各項標準的廣泛傳播和有效普及,為完善軟件應用領域的安全標準體系建設、為促進軟件開發應用的健康有序發展貢獻力量。