聚焦 DevSecOps ！企业级 DevOps 赋能（共促）计划第四次研讨会成功举办

年 6 月 23 日，由中国信息通信研究院指导，云计算开源产业联盟和开放运维联盟共同发起的企业级 DevOps 赋能（共促）计划第四次研讨会成功于线上举办！

此次与会成员主要来自赋能（共促）计划的合作单位：

本次交流围绕着 DevSecOps 这一主题展开交流和讨论。在 DevOps 协作框架下，安全防护是整个 IT 团队的共同责任，需要贯穿至整个生命周期的每一个环节。在 DevOps 计划刚启动时就要邀请安全团队来确保信息的安全性，并制定自动安全防护计划，实现持续 IT 防护、DevOps 安全防护自动化。

首先由中国信通院专家牛晓玲带来《携手前行，企业级 DevOps 赋能（共促）计划》的演讲，介绍了赋能计划新一批的合作单位以及《研发运营一体化（DevOps）能力成熟度模型 第六部分:安全及风险管理》详情。▼

中国信息通信研究院云计算与大数据研究所云计算部副主任牛晓玲带来精彩分享

随后，由华泰证券庄飞带来《华泰证券 DevSecOps 落地实践》的演讲，分享了华泰证券面临的安全挑战，对于 DevSecOps 理念传递及实践经验，以及华泰的安全工具平台建设过程等。▼

华泰证券工程效率与应用安全团队负责人庄飞 带来精彩分享

之后由腾讯安全专家张祖优带来《从混沌到体系化：DevSecOps在腾讯业务领域的落地尝试》分享，介绍了腾讯云产品体系与安全挑战，从边界建立的安全防线，基于风险控制的安全体系以及腾讯 DevSecOps 的落地尝试。▼

腾讯安全实践负责人张祖优 带来精彩分享

在此次活动的互动交流环节，参会专家对关于DevSecOps这一主题提出问题并共同探讨，交流分享经验。

Q：轻量级的威胁建模、威胁量表如何累计？是遇到一个累加一个，还是用哪些资料可以参考？

庄飞：根据国家的法律法规，我们有一个文档叫“监控要求汇编制度”，包括《网络安全法》、《监管指引》，把所有的实践我把它形成一个网络规范，每年都要更新，形成一个庞大软件需求库，软件需求库的内容，比如说互联网外包要刷一层认证，你可以认为它是威胁列表。其实威胁列表怎么出呢？问卷列表对我们来说其实跟软件需求标准库是对应的，所以说累加的话也就是我刚刚说的从四个方面，南北极的，威胁列表跟每个需求一一对应，我们每年都会修订标准库。

Q：内部渗透覆盖的范围、频率是怎么样的？

庄飞：内部渗透我们内部是有人做的，因为去年并没有买。从内部渗透，首先是他们自己做，因为做不过来，所以把内部渗透的一部分放在一个部门，所谓的快就是说他们两天给你结果，你把你的测试环境放到互联网去，比如说我们买买买某一个，比如说补贴，补贴他们，他们可能两天就可以快速出结果，内部渗透有内部人做，大的话我们找外包来进行快测，这个应该是每个项目都在做的，我们标准化都会做的，这个工作耗费我们的时间，内部人做的话一个系统，因为怎么说呢，当然做那么细不可能的，因为确实系统很多，做不完，所以说大概一个内部人可能一个系统一天都做不完，外边快测一个系统两天时间可以拿结果。

Q：安全嵌入全流程，在每一个阶段有没有统计过多少的安全问题？比如需求配件是多少？开发阶段解决多少、测试阶段解决多少？

庄飞：这属于一个需求问题，这一块是来想办法来自研一个简单的安全需求测试的工具，不需要解决思路的问题，只要解决重要的问题，系统把主要的技术产品输入自动化产生需求，这个需求出来以后不需要全部参与，可以解决很多参与的问题，我们近段时间开发的三叉戟的需求自动化，后边自动化生成需求。开发阶段我们安全人员要给他解释，第一个可以放过一些漏洞，不是所有漏洞都要把它解决，在研发的时候查漏洞的时候根本不需要我们参与，它只要跟正常代码一样看出漏洞就修，因为这个时候漏洞怎么修复都有一个信息门户来给他们参考的，目前开发阶段测漏洞他们自己可以解决，我们根本不需要任何参与。测试阶段嵌入以后，CR自动化测试采集漏洞，自动化就修，对于我们安全人员来说唯一要做的就是说第一个要去优化规则，比如说源代码规则，就是研发的效率可以把漏洞减少，现在这个漏洞OK呀，就看成熟度，主要是优化规则，把安全漏洞的标准库、知识库维护好，尽量减少参与，WAS系统自动就把这个消化掉。

Q：张祖优老师，在环境管道内处敏感信息检查是指什么？

张祖优：腾讯现在说对外开源和内部所有项目非特殊情况下，整个公司是对内开源，所以这里面有安全的敏感信息的泄露，去年一整年来看是很常见，有业务同学不小心把腾讯 API 的密钥泄露出去，所以在代码流程里面会有敏感信息的检查，目的检查出代码是否存在了 API 密钥敏感信息，避免进行了泄露的情况。

Q：外网IP安全审批什么情况下审批不通过？

张祖优：IP审批这块主要是审批两点，一个是开发必要性，另外是他有没有进行安全加固，主要是这两点的审批，我们业务同学外网的开放是非必要我们是直接拒绝的。

Q：资产管理包括主机、运营、产品、人，其中人资产主要是指什么？如何进行管理？

张祖优：在整个腾讯或者是腾讯云组织架构里面，组织架构比较复杂，包括做开发，主要涉及整个产品安全体系业务性建设当中的哪些方面，比如说安全培训是否覆盖全面，包括不同角色基础开发的测试内容，针对外部环境开发产生，涉及到安全管理的机制，其实主要是把对象梳理清楚，方便进行扩充的安全动作。

Q：5分钟常见高危端口快速扫描，一小时全端口扫描，这个是指针对全网的主机吗？扫描的数率是如何提升？

张祖优：这个是针对整个腾讯云自研服务器，公有云部分不在这个范畴的，针对是自己业务所有的机器内外网都会扫描，但是主要关注是外网的IP，这个一小时是我们做的评估，其实更好的效率也是可以的，整个系统我们是自研的，可能是针对一些扫描比较慢的地方进行优化，进行整体的改进来提升整体扫描的效率。为什么是一分钟和一小时，因为通常安全是暴露了高危的端口，那么会针对高危端口进行重点的扫描，其他的端口是比较慢速，没有那么高的扫描情况。

Q：内部自研工具类似于SAST DAST计划开源吗？

张祖优：这个不是说我能去决定的事情，我们内部很多工具都是属于内部协同共建，其实是多个安全团队进行构建的，我可能是 OTM，一般这种决策多个 PM 去讨论决策的，从目前来看我们是没有对外开源的计划，目前可能这种协同共建是满足内部安全需求。

Q：安全需求和设计环节在DevSecOps里面如何落地？

庄飞：大家知道基于DevOps真正做的两个礼拜一个迭代非常快，我们做安全社区这个比较耗人，我们做的阶段是在需求架构设计的时候，假设我们项目进行交流，系统设计环境是什么，去做工具分析，去看部署架构是什么，系统技术架构，这些技术组建，怎么利用有没有敏感数据，数据边界跟哪些系统有交付，把所有东西拿到之后，有一个叫做调查问卷里面，把我们最关心问题列出来之后，我们大致知道你这个系统大概有什么问题，你这个系统大概要实现什么安全需求、安全设计，比如说我们也会对架构，可能基础设施不是那么完善，开发功能可能不会去管，那么申请了外网申请了，从头到尾都看到了，那么是业务系统部署的时候有金融安全的问题，你的系统怎么分层区域去构建什么去接入服务器，那么肯定是不允许的，所以说我们把这方面疏通开了之后，给了他很多安全的需求，安全需求就是架构的分层，把你系统如果是SDK的，有没有动态，你列出来之后最开始做这件事情之后，我们在小版本迭代是不会做SDK的，后面的迭代主要是不涉及到功能，安全功能变化都不在乎，所以有了迭代过程突然有功能有很大影响，更多的行业项目会主动找我们，这个时候我们并不知道这块还是靠人力的设计，当然我们做的过程不会控制在这块，还是说有基本的问卷分析制造，工具链在哪里，根据需求去匹配工具的列表，但是我们安全需求不是很简单的，我们需求里面会有实现，怎样去实现，防止什么接口。

Q：运维在DevSecOps当中有什么变化，要做什么安全方面的事情呢？

张祖优：其实从我们实际的一个落地过程当中来看，安全可能是购买运维的关系不是很大，那么另外其实运维安全也挺依赖运维的，我们做三年前扫描的时候其实我们内部，我们内部 BG 跟外部的 BG，扫描我们是基于测试环节去做，我们做的比较累的，但是另外一个 BG 情况他们有统一应用网关，运维进行的建设，可以做统一的流量设计，在防火墙可以是直接在运维去做，不需要专门去推动业务去做防火墙的防护的上线，所以其实我觉得运维可能要考虑点把相关的从安全角度，可能是相关流程的统一包括平台统一化，可能是比较方便去执行的。

Q：张祖优老师，运营阶段耗时具体是怎么做的？常规漏洞扫描漏洞开展频率和修复要求是什么？

张祖优：其实在腾讯这部研究是比较重的点，但是我们在运营阶段现在主要推插件前的扫描，但是运行阶段扫描一直有，主要是通过流量的方式，抓起业务的流量，当然腾讯流量比较大，所以并不是前端的扫描是超流量扫描的机制，这个扫描大概会有一个 TOBS 的限制，一般是30到50的值，那么有一些比较弱的业务申请是不做业务扫描，但是一般也很少，因为如果一个业务如果来二三十个 TOBS 都撑不住其实业务稳定性也比较差的。常规漏洞扫描和通用漏洞扫描是不一样，是两个维度，通用漏洞扫描其实是两个维度，是基于警告一个是基于系统漏扫的维度，主要是关注系统组建的问题，通过网络请求，其实是在 POC 进行了验证，这样的维度，但是这个可能会考虑移动常见业务这里实际执行动作可能比较轻一点，另外是针对情报业务，更多是从组建的角度通过通用漏洞，是结合测绘通用漏洞去自然测绘，多个维度去搜集业务使用组建的情况以及版本情况，有情报爆发会有直接匹配，会知道哪些业务是会受影响推动修复。修复要求在腾讯内部只要安全漏洞进了要百分百修复，没有任何理由，腾讯内部安全执行很大部分是依赖安全工单的。

Q：安全工单一般多久解决？分成几个级别？有没有可能是误报的？

张祖优：安全工单是分几种情况，一种是外部报和内部发现，不管是内部还是内部，都分高中低三个等级，但是实际上处理过程分高级一类中低级一类，对于修复其实两个概念，一个是临时止损和完全修复，对于临时止损要求比较高，对于高级在四个小时甚至两小时之内必须完成临时止损，修复是一天内修复，针对中低风险那么高可以 8 个小时完成临时止损，5 天之内完成修复。工单是有可能误报，我们是在工单流程当中有误报选项，业务同学可以设置该工单可以误报一起进行操作的流程，业务同学进行了修复进行了工单验证，漏洞比如说来自与漏扫发现的，那么自动在漏扫加上自动化过程，那么人工发现会有人工验证的过程。绩效这块我们工单目前没有做到跟绩效挂号，腾讯内部曾经尝试过把漏洞的情况跟直接晋升挂钩，作为参考值，然后我们其实更多是一种通报批评的机制，比如说安全信息评分，从团队角度不会从个人角度，从团队角度发现你这个团队漏洞特别严重，我们会及时通报到足够高的层面，让团队进行解释，这里有很重要高层对安全很重视，会要求必须强制落实这个事情，如果相关团队总监不去重视其实是会批评的，从这个角度去做的。如果真的这种漏洞导致的事故我们会有另外一套事故机制，不跟通报机制不一样，事故机制严格按照公司事故定级角度会影响到绩效的。

云合影：

截至目前，加入赋能计划的合作单位分别有：

关于“企业级 DevOps 赋能（共促）计划”的更多事宜，可咨询：

中国信息通信研究院@刘凯铃

电话：156 5078 6171（同微信）

邮箱：liukailing@

高效运维社区@东辉

电话：185 1511 5139（同微信）

邮箱：yangdonghui@