悬镜安全|DevSecOps敏捷安全技术金字塔V3.0正式发布( 三 ) 悬镜安全,DevSecOps敏捷安全技术

效果度量层：ASOC、CNAPP
作为DevSecOps敏捷安全技术实践的第三层，引入的都是框架型平台技术，侧重于提升整个敏捷安全体系的运营效率，但在市场需求和实践方面尚有巨大提升潜力。
ASOC（Application Security Orchestration and Correlation，应用安全编排与关联）也是首次引入金字塔的创新技术。子芽介绍到，它是由过往版本金字塔中的ASTO（Application Security Testing Orchestration，应用安全测试自动化编排）和AVC（Application Vulnerability Correlation，应用程序漏洞关联）两项技术合并而成，核心优势在于可以较大程度提高DevSecOps的运行效率，可将面向应用安全（Appsec）的DevSecOps敏捷安全工具链真正运营起来，是安全左移实践思想的重要落地抓手。ASTO强调的是向下编排安全工具链，以智能自动化的方式来完成安全活动；AVC则从漏洞入手，针对各种AST工具长久以来无法解决的误报、重复等问题，引入漏洞关联分析手段协助用户进行更好的修复优先级判断。
CNAPP（Cloud-Native Application Protection Platform，云原生应用保护平台）同样是首次引入，它不是简单拼凑工具，而是一个云原生安全框架型技术，通过将现有的云安全技术融合到一个统一的面向应用全生命周期的解决方案中，并将已经存在的单点防护进行整合，实现了从代码开发到构建再到部署运行整个应用生命周期的安全可视化以及安全防护，子芽指出，从这个角度理解，CNAPP是安全左移的典型表现。它同样也是敏捷右移实践思想的重要落地抓手，重点从保护基础设施转向保护工作负载和在这些工作负载上运行的应用程序，可在统一平台中执行所有这些功能，帮助消除DevSecOps流程中的摩擦。

卓越层：CARTA
作为DevSecOps敏捷安全技术实践的最高层，也是DevSecOps敏捷安全体系建设的终极愿景，连续三年被CARTA占据。CARTA（Continuous Adaptive Risk and Trust Assessment，自适应风险与信任评估）从规划、构建、运营三个维度动态评估企业的数字化业务在整个软件全生命周期中面临的风险和信任，不追求零风险，不要求100%信任，持续构建一个信任和弹性的研运一体化安全环境，使得企业组织能够敏捷地、和业务共生地、持续进化地参与到软件供应链安全建设和保障中去。

文章图片
图4 CARTA自适应风险与信任评估框架
子芽重点提到，网络安全的本质是风险和信任的动态平衡。DevSecOps不是安全开发和安全运营的简单结合，安全开发的终点也不能简单归结为漏洞处置，安全运营的终点亦不能简单归结为威胁响应，而是应以终（漏洞处置和威胁响应）为始，回归应用和体系，以人为本，结合智能自动化技术实现共生、敏捷、进化的安全新局面，形成真正意义上的应用全生命周期持续安全大循环，这才是DevSecOps敏捷安全体系建设的终极愿景，也正是DevSecOps莫比乌斯环所真正象征的意义。

文章图片
DevSecOps敏捷安全技术如何落地？最后，子芽分享了DevSecOps在落地过程中的轻量级应用实践指南。轻量级是指该指南不是简单面向DevSecOps敏捷安全技术金字塔所囊括的所有技术，力求能结合企业自身安全体系建设现状在短中期内达到一定的实践效果，帮助企业用户逐步构筑一套适应自身业务弹性发展、面向敏捷业务交付并引领未来架构演进的安全开发运营共生体系，兼顾文化、流程、技术演进和持续度量。