云计算开源产业联盟-软件及服务行业：研发运营安全白皮书（2020年）-200730

1. 研发运营安全概述研发层面安全影响深远，安全左移势在必行随着信息化的发展，软件应用服务正在潜移默化的改变着生活的各个方面，渗透到各个行业和领域，软件应用服务的自身安全问题也愈发成为业界关云计算开源产业联盟注的焦点。

2. 全球安全事件频发，代研发运营安全白皮书（2020年）码程序漏洞是关键诱因之一。

3. 2017年，美国最大的征信机构之一Equifax因未能及时修补已知的安全漏洞发生一起涉及1.48亿用户的数据安全、隐私泄露事件，影响几乎一半的美国人云计算开源产业联盟口；国内电商因优惠券漏洞被恶意牟利，酒店、求职等网站也曾发生数据安全事件，泄露百万级、亿级用户隐私数据。

4. 究其原因，软件应用服务自身安全漏洞研发运营安全白皮书（2020年）被黑客利用攻击是数据安全事件层出不穷关键因素之一。

5. 根据Verizon2019年的研究报告《DataBreachInvestigationsReport》，在总计核实的2013次云计算开源产业联盟数据泄露安全事件中，超过30%与Web应用程序相关，Web应用程序威胁漏洞具体指程序中的代码安全漏洞以及权限设置机制等。

6. Forrester2019年发布的调查报告《ForresterAnalyticsGlobalBusinessTechnographicsSecuritySurvey，2019》中显示，在283家全球企业已经确认的外部攻击中，针对软件漏洞以及Web应用程序是位于前两位的，分别占比达到了40%与37%，具体数据见图1，其中研发运营安全白皮书（2020年）软件漏洞主要指对于安全漏洞的利用攻击，攻击Web应用程序主要指基于程序的SQL注入、跨站脚本攻击等。

7. 根据咨询公云计算开源产业联盟司Gartner统计数据显示，超过75%的安全攻击发生在代码应用层面。

8. 已知安全漏洞中，研发运营安全白皮书（2020年）应用程序安全漏洞与Web应用程序安全漏洞占多数。

9. 美国国家标准技术研究院（NIST）的云计算开源产业联盟统计数据显示92%的漏洞属于应用层而非网络层。

10. 国家计算机网络应急技术处理协调中研发运营安全白皮书（2020年）心2020年4月的发布的数据显示，2019年，国家信息安全漏洞共享平台（CNVD）收录的安全漏洞数量创下历史新高，数量同比增长14.0%，达到16193个，其中应用程序漏洞占比56.2%，Web应用程序占比23.3%，二者相加占比超过76%，充分说明安全漏洞大多存在于软件应用服务本身。

11. 传统研发运营云计算开源产业联盟安全模式中，安全介入相对滞后。

12. 传统研发运营安全，针对服务应用自身的安全研发运营安全白皮书（2020年）漏洞检测修复，通常是在系统搭建或者功能模块构建完成之后以及服务应用上线运营之后，安全介入，进行安全扫描，威胁漏洞修复。

13. 如当前的大多数安全手段，防病毒、防火墙、入侵检测等，都是关注软件交付运行之后的安全问题，属于被动云计算开源产业联盟防御性手段。

14. 这种模式便于软件应用服务的快速研发部署，但安全介入相对滞后，并无法覆盖研发阶段代码层面的安全研发运营安全白皮书（2020年），安全测试范围相对有限，安全漏洞修复成本也更大。

15. 安全云计算开源产业联盟左移有助于帮助企业削减成本。

16. 代码是软件应用服务开发的最初形态，其缺陷或漏洞是导致安全问题的直接根源，尽早发现源码缺陷能够大大降低安全问题研发运营安全白皮书（2020年）的修复成本。

17. 根据美国国家标云计算开源产业联盟准与技术研究所（NIST）统计，在发布后执行代码修复，其修复成本相当于在设计阶段执行修复的30倍。

18. 具体数据如研发运营安全白皮书（2020年）图2所示。

19. 在此背景下，搭建新型的研发运营安全体系，进行安全左移，覆盖软件应用服务的全生命周期，是至关重云计算开源产业联盟要，也是势在必行的。

20. 建立新型的研发运营安全体系有助于构建可信理念，创造可信生态研发运营安全白皮书（2020年），是实现软件应用服务全生命周期安全的重要一步。