一、项目背景及目标

作为金融行业的重要组成领域，银行业一直都是网络安全事件发生的重灾区。近年来随着互联网的发展，为应对多变复杂的网络环境，国家对网络安全的重视程度逐渐加深。银行业关系国家的经济命脉，面临着更多更复杂的网络安全风险。

中国银行作为国有商业银行，其业务范围覆盖全国，拥有相对较多的线上业务系统，每天都完成海量支付业务，业务系统保存着用户的敏感信息，多个系统被评为较高的等保级别。而在业务系统从设计、编码、测试到上线运行各个环节都有可能出现造成安全漏洞，给业务系统带来风险。业务系统中水平/垂直越权、批量注册、业务接口乱序调用等业务逻辑漏洞和第三方开源组件漏洞频发。高危的安全漏洞一旦被利用，可能会造成严重的信息泄露或者系统中断。

为应对互联网科技公司的冲击，银行业同样改变了新技术应用的保守思想，采用更开放、敏捷的开发思路，注重用户体验和快速迭代。而敏捷开发与快速迭代，往往在加快了进度的同时忽略掉部分安全隐患和响应效率，来弥补开发过程中的控制缺失。高速运转的敏捷开发运营模式将传统的安全工作甩在身后。仅在上线运行阶段开展安全风险控制工作，已逐渐无法防御由网络技术发展带来的各项威胁。

同时，《网络安全法》、等级保护2.0及个人信息保护法等方面法律法规与制度的不断出台，对银行庞大的业务系统进行更多网络安全方面的监督，要求银行业加大加强网络安全工作的力度，技术架构更加注重应用安全、开发安全等方面的保护要求，安全防御从事后关注到全生命周期保护理念的转变。

基于此，中国银行软件中心通过选用悬镜“DevSecOps智适应威胁管理解决方案”体系，引入DevSecOps建设理念，一期采购夫子DevSecOps全流程安全赋能平台完成基础平台的搭建与对接，二期引入风险发现阶段工具灵脉IAST灰盒安全测试平台，在已有敏捷开发模式的基础上，引入“Sec”安全元素。

区别于传统安全测试模式，悬镜“DevSecOps智适应威胁管理解决方案”致力于解决高速运转敏捷开发模式下安全防护的问题，在业务系统的开发和测试阶段就能及时发现安全漏洞并修复，使得安全能力在整个业务生命周期中左置前移，提高应用层的威胁发现能力。将安全自动化地无侵入地融入内部的敏捷开发流程，在测试平台内多并发开展检测任务。同现有的系统等对接，在业务系统的研发全生命周期中，大幅降低系统风险。

DevSecOps智适应威胁管理解决方案平台及工具的引入，配合人员管理与规范安全制度的加强，实现制度+平台+工具链的全流程、一站式的安全赋能与安全保障，将安全贯穿从开发到运营整个业务生命周期每一个环节。

二、项目方案

“DevSecOps”作为一套基于DevOps体系的全新IT安全实践战略框架，从DevOps敏捷开发的理念延伸和演变而来。其核心理念为：快速迭代模式下，安全是整个IT团队（包括开发、运维及安全团队）每个人的责任，需要贯穿从开发到运营整个业务生命周期的每一个环节。

它的出现就是为了改变和优化之前传统SDL模式下开发安全工作滞后分散的一些现状，特别是安全测试的孤立性、滞后性、随机性、覆盖性、变更一致性等问题。面对“攻防不对等”的严峻形势，无论是新型的DevSecOps还是传统的S-SDLC模式，作为安全人员都需要坚持一个原则：项目不是安全自己的项目，是安全和产品、研发、QA一起的项目，柔和低侵入、低误报及多场景支持是基础。

DevSecOps智适应威胁管理解决方案将安全工作柔和无侵入地嵌入银行现有的DevOps敏捷开发体系，融合DevSecOps持续威胁管理思想，形成“DevSecOps”体系，无缝衔接已有的平台及工具，帮助金融行业客户流程化、自动化、制度化地保障业务安全。

DevSecOps智适应威胁管理解决方案融合悬镜安全的红蓝对抗经验，全流程的产品和服务为金融行业客户提供包括威胁建模、开源治理、风险发现、威胁模拟、检测响应在内的的全生命周期安全解决方案，协助金融客户建立DevSecOps CI/CD黄金管道，利用关键CI/CD自动化工具链技术（IAST应用安全测试、SCA第三方组件成分分析、RASP运行时应用自保护、红蓝对抗和SRC），实现CI/CD自动化工具链对业务系统的支撑。

包括：

威胁建模：夫子SDL安全开发赋能平台；

开源治理：源鉴OSS开源威胁管控平台；

风险发现：灵脉IAST灰盒安全测试平台；

威胁模拟：灵脉PTE智慧渗透测试平台；

检测响应：悬镜EDR云卫士自适应安全运营平台。

图 1 悬镜DevSecOps智适应威胁管理体系

在实际建设中结合客户现有的体系情况，结合金融行业客户自身的需求，选择适合的方案，开展合理的CI/CD平台引入与建设。包含的多款CI/CD自动化工具可多场景支持，弹性平台扩展，开放 API 接口支持 Jenkins 等 CI/CD 平台，兼容IPv4/IPv6等，灵活建设，灵活部署，流程低侵入。

三、技术实现原理

1、DevSecOps技术

DevSecOps由Gartner提出，通过固化流程、加强不同人员协作，用工具、技术等手段将可以自动化、重复性的安全工作融入到研发体系内，让安全属性嵌入到整条流水线。

图 2 应用开发模式的技术演进

将“安全”纳入信息系统全生命周期流程，形成闭环管理，这要求区别于传统安全产品的关键技术产品加入。为适用于整个流程中，DevSecOps安全产品必须满足以下特征：

1）便于与CI/CD工具集成；

2）可用性强，专业要求程度低；

3）透明化安全检测；

4）安全检测时间尽可能短；

5）误报漏报尽可能少；

6）漏洞信息可有效集成到开发测试人员常用平台；

7）开放功能API；

8）尽可能提供自动化完成安全检查和结果展示接口。

图 3 DevSecOps流程（图源：Gartner）

2、关键工具链技术

在完成DevSecOps工具链的过程中，需要基于几个关键的工具链技术，确保安全工作的有效高效。

1）IAST应用安全测试；

2）RASP运行时应用自我保护；

3）SCA第三方组件成分分析；

4）红蓝对抗和SRC。

图 4 CI/CD黄金管道

3、IAST应用安全测试技术

作为本次中国银行软件中心引入采用的工具链关键技术，IAST技术用于悬镜“DevSecOps智适应威胁管理系统”风险发现阶段，采用悬镜自研的灵脉IAST灰盒安全测试平台。

IAST（交互式应用安全测试），即灰盒安全测试。悬镜解决方案产品灵脉IAST灰盒安全测试平台融合了DAST 和 SAST 的优势，通过全场景流量分析技术，如运行时应用插桩（含主动及被动）、启发式爬虫、代理/VPN及流量管家等和原创 AI 渗透启发技术，基于请求、代码、数据流、控制流综合分析判断漏洞，漏洞测试准确性高，误报率极低，同时可以定位到 API 接口和代码片段。

同时，灵脉IAST灰盒安全测试产品还加载了IAST以外悬镜的技术积累，除了可检测应用程序本身的安全弱点，还可以检测屡屡频发的业务逻辑漏洞、应用程序中依赖的第三方软件的版本信息和包含的公开漏洞，支持漏洞验证。

图 5 灵脉 IAST 全场景流量采集技术

4、RASP技术

RASP，实时应用自我保护技术。运行在应用程序的内部，它的安全保护控制点通常放在应用程序和其他系统的交互连接点上，包括和用户、数据库、网络以及文件系统的连接点，从而，实时监测并拦截漏洞攻击。RASP 的亮点在于「自我保护」，能够在运行时结合上下文采取相应的保护方案，将防护引擎嵌入到应用内部，不再依赖外部防护设备。同时，具有「实时」的特点，一旦发现攻击行为立刻进行响应处理。

5、SCA第三方组件成分分析技术

现今开源代码的使用大幅度提高软件研发效率，降低开发成本，但是开源软件中存在的大量缺陷、甚至安全漏洞也一并进入了软件部署包，为软件带来巨大的安全风险。

SCA技术即软件成分分析第三方组件成分分析技术应运而生。悬镜DevSecOps智适应威胁管理解决方案于开源治理阶段运用SCA技术，自研的源鉴OSS开源威胁管控平台与DevOps流程无缝结合，在流水线的相应阶段自动发现应用程序中的开源组件可扫描大量第三方开源组件中的漏洞，实现自动化实时识别、分析开源组件信息、风险及依赖关系。

6、红蓝对抗和SRC

红蓝对抗技术常用于网络安全攻防演练中，一方扮演黑客，另一方扮演防御者。SRC指安全应急响应中心，组织为应对常见的安全漏洞而特别设立的机构。本项技术重点在于运用黑客攻击技术与防御技术评估政企的安全性，找出安全中的薄弱环节。DevSecOps智适应威胁管理体系中，悬镜自研产品灵脉PTE AI智慧渗透测试平台利用RNN 深度学习算法模拟黑客入侵，自动化开展渗透测试，以贴近实际人工渗透的方式，对给定目标进行从信息收集到漏洞利用的完整渗透过程。注重多风险点关联利用，支持持续安全检测并提供解决安全隐患的方案。

四、创新点

DevSecOps智适应威胁管理体系建设对接已有平台，协助金融客户建立DevSecOps CI/CD黄金管道，利用多项关键CI/CD自动化工具链技术（【AST应用安全测试】、【SCA第三方组件成分分析】、【RASP运行时应用自保护】、【红蓝对抗和SRC】），形成多款产品构成的工具链，实现CI/CD自动化工具链对业务系统的支撑。

夫子DevSecOps全流程安全赋能平台，作为DevSecOps智适应威胁管理解决方案前期对接DevOps的基础平台产品，采用【全流程关联分析】技术对接各漏洞发现工具，弹性扩充，动态跟踪威胁的处理流程，形成真正的自动化【闭环管理】。打通软件开发生命周期的需求、设计、开发、测试及线上运营等关键阶段，实现漏洞数据统一分析，整体关联，全程治理。

灵脉IAST灰盒安全测试平台，作为DevSecOps智适应威胁管理解决方案风险发现阶段产品，除了采用了融合白盒与黑盒优点、更适合当下应用场景的【IAST灰盒安全测试技术】，还积累了悬镜的技术经验，支持【业务逻辑漏洞检测】、【第三方开源组件漏洞检测】等技术功能，可对漏洞开展验证。

五、项目过程管理

1、需求分析和概要设计阶段

此阶段时间段为2019年3月至2019年5月，其间同步完成了DevSecOps智适应威胁管理解决方案夫子DevSecOps平台及灵脉IAST工具3.0版本的业务需求分析、业务功能和技术构架的高层设计。提交了现状需求分析报告、各功能模块的高层设计、技术构架和接口的高层设计等文档。

2、系统详细设计阶段

此阶段起始时间为2019年5月至2019年7月，其间主要完成了DevSecOps智适应威胁管理解决方案系统内，关键平台工具的详细设计工作，产出详细设计说明书等文档。

3、系统编码、测试和上线准备阶段

此阶段起始时间为2019年7月至2019年9月，其间完成了DevSecOps平台及关键工具引擎端、前后端的开发编码、测试以及试点行上线准备工作，提交了测试报告等文档。

4、试点上线阶段

此阶段起始时间为2019年9月至2019年10月，其间在内部客户中推广试用，效果良好。

5、销售阶段

一期平台建设：2019年12月，成功以优秀的DevSecOps智适应威胁管理解决方案获得中国银行软件中心的认可，并正式签订合同，合同签订后两周成功交付并安装调试夫子DevSecOps全流程安全赋能平台。

二期工具建设：2020年4月至2020年7月，参与项目的招投标活动，成功以DevSecOps管理工具的技术硬实力再次获得中国银行软件中心的认可。于2020年7月正式签订合同，合同签订后两周成功交付并安装调试灵脉IAST灰盒安全测试平台。

目前相关平台工具在中国银行软件中心内部系统中运行平稳。

六、运营情况

1、风险感知

通过DevSecOps平台及风险发现管理工具的建设，将安全风险的发现前置到应用生命周期前期，增强漏洞风险感知持续监控，对检测出的安全漏洞风险给出详尽的漏洞检测与风险修复方案。同时依靠DevSecOps智适应威胁管理解决方案及悬镜的技术研发实力，不仅可以提早感知常规漏洞，支持漏洞复验并定位到代码行，还可发现包括业务逻辑漏洞、第三方开源组件漏洞等在内的绝大多数漏洞种类类型，覆盖率达95%。

建设DevSecOps平台及风险发现阶段工具，统筹管理、提前发现 业务系统中隐藏的漏洞,帮助加强应用安全防护能力，满足业务系统的安全保护需求，保障客户金融安全。

2、团队自动化协作

DevSecOps解决安全与开发团队之间的历史遗留问题，使开发、安全与运营不再相互分割独立，合理管控开发流程，从源头将专家团队的安全能力持续赋能给传统IT项目人员。DevSecOps整个流程中所有工作人员都对软件的安全负责，目标是在不以牺牲安全性为代价的情况下，用快的速度和规模将安全策略分配至每个流程中的关键人员加以执行。

通过DevSecOps平台与工具的引入，搭配制度的管理，中国银行软件中心在业务系统上线前充分利用建设体系的优势，组织流程化、自动化、持续化地保障业务安全。

七、项目成效

1、实现将安全引入敏捷开发的体系管理

通过对中国银行软件中心的建设，完成了将安全防御从事后关注到全生命周期保护理念的转变，将安全引入现有的开发测试运营流程与平台，通过固化敏捷流程、加强不同人员协作，采用工具+技术的手段将可以自动化、重复性的安全工作融入到研发体系内，让安全属性嵌入到整条 CI/CD 流水线。

终目标为建立快速迭代模式下，安全从开发到运营贯穿整个业务生命周期的每一个环节的DevSecOps或S-SDL体系模式。改变和优化之前传统模式下开发安全工作滞后分散的一些现状。测试人员只需支持功能测试的同时即可透明自动化完成安全测试，业内首创0门槛、无感知的安全介入方案，不更改原有工作流程，不增加相关人员工作量，不更改其工作方式，从而实现更为有效的安全落地。

2、全面降低漏洞风险，实现闭环的漏洞管理

DevSecOps智适应威胁管理解决方案实现对企业自身的统一上线检测流程建设和漏洞控制。将应用威胁发现能力前置到开发测试环节，将漏洞的发现与修复左移至项目上线前。利用技术的优势，结合业务逻辑漏洞的发现与第三方开源组件成分分析技术，深度发现与挖掘漏洞，有效覆盖 95%以上中高危漏洞，支持漏洞的检验，满足证券金融行业的安全保护需求，保障客户金融安全。

建立漏洞发现与感知能力，掌控资产运行过程和运行状况，减少漏洞带来的多项风险。

通过DevSecOps威胁建模平台——夫子DevSecOps全流程安全赋能平台，完成全流程漏洞及项目管理，动态跟踪整个开发测试过程中的漏洞爆发及修复情况，智能分析各开发部门漏洞收敛进度，实现漏洞从发现、确认、修复、复查等关键生命周期的全流程闭环管理。

通过DevSecOps风险发现阶段工具—— IAST 灰盒安全测试平台运用的动态污点追踪技术、基于角色的多账户管理、危险操作指令规避及脏数据清洗机制，有效实现在保障安全检测有效性的同时对客户环境业务流转不产生任何影响。

3、满足银行行业政策法令监管要求

银行作为金融行业的重要组成部分，正面临着网络与信息安全的各种威胁。为减少网络安全事故的发生，落实主体责任，国家及行业监管机构等均发布了各项法律法规及要求规范。

《中华人民共和国网络安全法》明确规定，建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。将安全风险控制由上线运行阶段转变为对信息系统安全进行全生命周期安全管理，在系统需求阶段、设计阶段、开发/测试阶段、上线阶段、运行阶段，持续对系统开展全方面的分析、评估和检查工作。

通过DevSecOps智适应威胁管理解决方案的引入建设，将国家法律、行业政策要求与业务需求结合落地，完成思想上的转变，符合相关监管文件的要求。

八、经验总结

中国银行软件中心通过引入DevSecOps智适应威胁管理解决方案的建设，分批次有效建设对接，使安全思想注入DevSecOps全生命周期，将安全能力在整个业务生命周期中左置前移，不影响原有研发体系的情况下降低了人工成本，提高安全团队的生产力，将内部研发测试的使用流量牵引到安全平台工具上，实现漏洞发现与威胁感知能力，建立全流程闭环的漏洞管理，帮助消控 95%以上业务中高危漏洞，有效防止了应用带病上线，同时满足监管要求。