​2022年12月28日，由悬镜安全主办，3S-Lab软件供应链安全实验室、Linux基金会OpenChain社区、ISC、OpenSCA社区联合协办的第二届全球DevSecOps敏捷安全大会（DSO 2022）已通过全球直播的形式圆满举行。本届大会以“共生·敏捷·进化”为主题，以“敏捷共生，守护中国软件供应链安全”为使命，聚焦DevSecOps敏捷安全、软件供应链安全和云原生安全三大典型应用场景下的新技术、新态势、新实践。

会上，大会出品人、悬镜安全创始人子芽以“DevSecOps敏捷安全技术演进洞察（2022）”为主题，围绕DevSecOps敏捷安全技术演进趋势以及关键技术应用实践作了精彩分享，并正式发布了行业期待已久的第三版DevSecOps敏捷安全技术金字塔。

下面让我们一同揭秘“DevSecOps敏捷安全技术金字塔V3.0”。

什么是DevSecOps敏捷安全技术金字塔？

 随着企业数字化转型加速，更多的数字资产和员工处于传统企业基础设施边界之外，同时，各式各样数字化转型而来的新业务和新技术也成为企业安全团队的保护对象。企业若想应对未来高级威胁和复杂场景的挑战，支持内生自免疫、敏捷自适应、共生自进化的积极防御安全架构成了必要选择，安全功能应可拆分成诸多原子化的安全能力，具备离散式制造、集中式交付、统一化管理、智能化应用等关键能力，进而通过控制层编排组合成适应不同业务场景安全要求的敏捷工具链和体系化方案。

在这样的大背景下，DevSecOps敏捷安全技术金字塔应运而生，它是DSO敏捷安全大会出品人子芽基于长期DevSecOps敏捷安全技术前沿研究探索成果和悬镜安全团队在软件供应链安全和云原生安全领域多年的应用实践沉淀汇聚而来，融合了国内外行业头部企业 “安全左移，从源头做风险治理”和“敏捷右移，安全运营敏捷化”的实践思想，并持续内涵了“出厂自免疫、敏捷自适应、共生自进化”的关键特性（关注‘悬镜安全’官方公众号，即可参考子芽专业著作《DevSecOps敏捷安全》，了解更多”）。其中，不同敏捷安全技术栈落入金字塔不同实践阶层的重点考量主要围绕“技术创新度、产品成熟度和市场需求度”三个维度展开。

图1 DevSecOps敏捷安全技术金字塔V3.0

DevSecOps敏捷安全技术金字塔V3.0有什么新变化？

图2 DevSecOps敏捷安全技术金字塔-演进对比

作为DevSecOps敏捷安全技术的引领指南，本次发布的3.0版本不仅延续了敏捷安全技术分层与企业组织DevSecOps成熟度非正比关系的编排原则，还引入了跨领域新技术与敏捷安全技术进行深入的实践融合。本次DevSecOps敏捷安全技术金字塔V3.0根据不同阶段相关技术的应用成熟度和落地效果进一步细化了敏捷安全应用实践的阶层，包含传统建设层、应用实践层（敏捷安全实践第一层）、技术探索层、效果度量层和卓越层（最高层）共五个阶段，下面将逐一进行技术解码：

传统建设层：WAF、EDR、Deception、CKS、ASTs

从网络安全技术演进和传统纵深防御体系构筑的视角，典型实用的安全技术主要分为边界流量分析技术、端点环境检测响应技术和应用情境感知响应技术。

在金字塔V3.0中，悬镜安全首次将Deception（攻击欺骗）和CKS（容器和K8s安全）纳入并置于传统建设层，主要是考虑到趋势发展和相关应用实践的成熟性，子芽提出，它们已经成为不同企业在不同场景下的基本应用要求。以CKS为例，随着容器和微服务等新型基础设施的日益普及和CKS技术门槛的大幅度降低，该技术被视为传统安全体系建设过程中基本具备的安全能力。

作为传统纵深防御关键技术的WAF、EDR以及ASTs依然入选。其中ASTs包括了SAST（白盒）、DAST（黑盒）和MAST（移动应用安全）三种传统应用安全测试技术，子芽也提到，AST技术存在进一步的融合趋势。

应用实践层：IAST、SCA、RASP、BAS

在应用实践层中，涵盖了四种既能在日常应用实践过程中具备较好应用效果，又能与DevOps CI/CD管道柔和融合的创新技术。

其中，RASP（Runtime Application Self-protection，运行时应用自我保护）由于在0DAY未知漏洞攻击防御、API威胁免疫、红蓝对抗、软件供应链攻击防御及应用东西向威胁流量检测响应过程中相对出色的表现预期以及技术性能的大幅度提升，日渐被市场青睐，从过往所处的技术探索层踊跃至DevSecOps敏捷安全技术实践的第一层。子芽预测，在接下来的三年中，RASP在HW、红蓝对抗等场景下会有更加广泛的市场应用。

此外，子芽着重强调，在这一层中，IAST和RASP的深度融合是大势所趋。随着运行时智能插桩、应用威胁情境感知和API智能检测响应等关键技术的创新与突破，以IAST和RASP为核心的代码疫苗技术迎来了蓬勃发展期。通过单探针的形式，代码疫苗技术不仅能在测试环境中实现应用风险检测以及API挖掘和覆盖分析，还能赋能数字化应用实现攻击威胁的出厂免疫以并提供运行时敏感数据追踪等关键能力，实现检测响应一体化，支持软件供应链攻击防御、0DAY未知漏洞攻击防御、应用东西向威胁流量检测响应、无文件攻击检测响应、漏洞攻击全链路回溯及API威胁免疫等复杂应用场景。

图3 All in one：“代码疫苗”单探针深度融合

技术探索层：DRA、SDE、Fuzzing

作为DevSecOps敏捷安全技术实践的第二层，引入的创新技术都是具备强技术突破性，可具体解决某类应用场景下突出问题，但在通用应用效果、市场需求和实践方面还有巨大提升潜力的前瞻性技术。

DRA（Data Risk Assessment，数据风险评估）是首次引入金字塔的创新技术。在子芽看来，DRA作为开展数据安全治理工作的基础，主要关注数据安全风险包括数据传输、个人隐私、数据生命周期管理、技术漏洞等，不但受国家法律和监管要求的强推动，而且是DevSecOps敏捷安全技术实战需求。对此子芽指出，随着DevSecOps敏捷安全技术应用实践的深入，敏捷安全体系的建设不再只关注应用级别的漏洞和外部攻击威胁，还将进一步深入到敏感数据泄露风险评估和治理工作。

同样作为首次引入金字塔的创新技术，SDE（Securing Development Environment，开发环境安全）涉及保护完整的软件开发环境，包括但不限于源代码存储库、CI/CD 管道、应用程序工件和用户身份信息。鉴于软件供应链攻击、开源工具的广泛使用以及远程工作方式导致的风险增加，保护开发环境变得至关重要。子芽认为，透过近年来的RSAC创新沙盒大赛可以发现，代码安全和开发环境安全已然成为软件供应链安全的主要抓手，正呈现融合发展的趋势。

这一层中第三个创新技术是连续三次引入金字塔的Fuzzing（API模糊测试），聚焦未知漏洞挖掘和异常风险发现。但子芽表示，受限于其独特的技术原理和高应用门槛，对常态化使用它的用户有着较高的专业技能要求，且在检测精度、技术性能上有较大提升空间，Fuzzing未来仍需要一段时间才能成熟。

效果度量层：ASOC、CNAPP

作为DevSecOps敏捷安全技术实践的第三层，引入的都是框架型平台技术，侧重于提升整个敏捷安全体系的运营效率，但在市场需求和实践方面尚有巨大提升潜力。

ASOC（Application Security Orchestration and Correlation，应用安全编排与关联）也是首次引入金字塔的创新技术。子芽介绍到，它是由过往版本金字塔中的ASTO（Application Security Testing Orchestration，应用安全测试自动化编排）和AVC（Application Vulnerability Correlation，应用程序漏洞关联）两项技术合并而成，核心优势在于可以较大程度提高DevSecOps的运行效率，可将面向应用安全（Appsec）的DevSecOps敏捷安全工具链真正运营起来，是安全左移实践思想的重要落地抓手。ASTO强调的是向下编排安全工具链，以智能自动化的方式来完成安全活动；AVC则从漏洞入手，针对各种AST工具长久以来无法解决的误报、重复等问题，引入漏洞关联分析手段协助用户进行更好的修复优先级判断。

CNAPP（Cloud-Native Application Protection Platform，云原生应用保护平台）同样是首次引入，它不是简单拼凑工具，而是一个云原生安全框架型技术，通过将现有的云安全技术融合到一个统一的面向应用全生命周期的解决方案中，并将已经存在的单点防护进行整合，实现了从代码开发到构建再到部署运行整个应用生命周期的安全可视化以及安全防护，子芽指出，从这个角度理解，CNAPP是安全左移的典型表现。它同样也是敏捷右移实践思想的重要落地抓手，重点从保护基础设施转向保护工作负载和在这些工作负载上运行的应用程序，可在统一平台中执行所有这些功能，帮助消除DevSecOps流程中的摩擦。

卓越层：CARTA

作为DevSecOps敏捷安全技术实践的最高层，也是DevSecOps敏捷安全体系建设的终极愿景，连续三年被CARTA占据。CARTA（Continuous Adaptive Risk and Trust Assessment，自适应风险与信任评估）从规划、构建、运营三个维度动态评估企业的数字化业务在整个软件全生命周期中面临的风险和信任，不追求零风险，不要求100%信任，持续构建一个信任和弹性的研运一体化安全环境，使得企业组织能够敏捷地、和业务共生地、持续进化地参与到软件供应链安全建设和保障中去。

图4 CARTA自适应风险与信任评估框架

子芽重点提到，网络安全的本质是风险和信任的动态平衡。DevSecOps不是安全开发和安全运营的简单结合，安全开发的终点也不能简单归结为漏洞处置，安全运营的终点亦不能简单归结为威胁响应，而是应以终（漏洞处置和威胁响应）为始，回归应用和体系，以人为本，结合智能自动化技术实现共生、敏捷、进化的安全新局面，形成真正意义上的应用全生命周期持续安全大循环，这才是DevSecOps敏捷安全体系建设的终极愿景，也正是DevSecOps莫比乌斯环所真正象征的意义。

DevSecOps敏捷安全技术如何落地？

最后，子芽分享了DevSecOps在落地过程中的轻量级应用实践指南。轻量级是指该指南不是简单面向DevSecOps敏捷安全技术金字塔所囊括的所有技术，力求能结合企业自身安全体系建设现状在短中期内达到一定的实践效果，帮助企业用户逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的安全开发运营共生体系，兼顾文化、流程、技术演进和持续度量。

图5DevSecOps轻量级应用实践指南

DevSecOps敏捷安全技术金字塔V3.0的发布，又一次刷新了行业力量对软件供应链安全体系建设的新认知，全方位、系统性、深层次地把脉了DevSecOps敏捷安全技术的未来演进趋势、软件供应链安全领域技术创新研究和落地实践的进化方向，更以实际行动推动安全产业生态共建、共治、共享，传递和初步践行了DSO敏捷安全大会“敏捷共生，守护中国软件供应链安全”的使命。