安全运营一体化:安全软件开发是网络安全法及等保2.0落地的基石
作者:北京老李:DevOps布道师、IT管理咨询师。拥有EXIN Agile、EXIN Lean IT、首批EXIN DevOps Master讲师、首批ITIL Expert讲师、PMP、Prince2专家级、EXIN云安全管理、ISO20000 LA、ISO27001 LA等多项认证。先后在北京、上海、广州等地主导软件开发、系统集成、咨询服务等工作,主要研究方向云安全管理、DevOps落地实施。
1.安全软件开发需求
敏捷从中文的理解来看,原意一般是指动作或言行的反应迅速快捷。在应用到软件开发时,是指相对于传统的瀑布模型提出的敏捷开发管理方法,其特点在于应对VUCA市场瞬息万变、并客户需求不断地进行变化地软件交付的方法。
敏捷开发以用户的需求进化为核心,采用迭代、循序渐进的方法进行软件开发。在标准的敏捷开发其实没有更多的讨论功能性需求与非功能性需求,此说明在IT运维的标准ITIL(ISO/IEC20000)及开发运营一体化(DevOps)中进行了详细的说明。
那么为什么要讨论非功能需求,因为软件的运行,不仅仅有功能性需求,也有非功能性需求,而真正决定软件运行的质量,就在非功能性需求。
从传统敏捷来看,只有当需求不明确,并且工程实现不确定性时,使用敏捷方法才能解决软件交付的各种问题。在此作者提出,敏捷管理本身不能解决所有管理问题,在特定的情况下传统瀑布管理依然有其存在的必要求,例如:需求固定、工程几乎没有变化。
但是无论是哪一种模式,现有的软件开发中对于非功能需求中的安全、可靠的设计都很有待完善,不能仅通过测试(安全测试及渗透测试)的后期解决开发完成后的安全整改,应在开发前,针对于软件进行安全设计,目前这也是国内软件开发面临的问题。
2.安全运营一体化:安全软件开发模型(一)
自2001年敏捷宣言,敏捷方法也在进行着提升与进化,在进化的过程中产生了多种大敏捷的管理方法,包括SOS、Nexus、Spotify、SAFe、LeSS、DoD等多种方法。
什么是大规模敏捷,大规模敏捷”意味着从几个敏捷团队扩展到多个甚至几百个敏捷开发团队。通过规模化敏捷解决多个团队合作与协调的问题,其核心在于对齐与即时交付。
各规模化管理模型中都未对安全开发进行引入需求,这就在很大程序上造成了软件安全漏洞,不仅仅在软件本身出来,并且在运行平台、中间件、使用端口、网站入口(Http并非是Hppts)多个情况下造成了无法达到安全软件开发的目标。
安全运营一体化是为了解决软件从开发之初就在考虑安全需求,并且在引入敏捷及大规模敏捷方法的前提下提前引入安全管理方法及安全模型、安全工具、安全测试,达到软件安全交付,安全运营的目标。
3.安全软件开发落实
《中华人民共和国网络安全法》由全国人民代表大会常务委员会于2016年11月7日发布,自2017年6月1日起施行。其核心是为了组织保障网络安全,维护与帮助国家保障网络空间主权的首要遵守的法律。
《中华人民共和国网络安全法》是保障及保卫国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展制定的我国首部法律条文。
其中在《DevOps Handbook》的副标题就明确地提出在技术组织中如何建立世界级的敏捷、可靠与安全的方法。在新形式下,所有软件开发与软件功能,都应强调安全、可靠、敏捷,并且三者,应相整合。
在敏捷形态下的网络安全法及等保是DevSecOps在应用软件领域的最新实现方法,也是当前软件开发(敏捷开发)所必须要考虑的功能。在以前的软件实现中,更多的软件开发只考虑功能性需求,随着软件开发通过按特性(故事)的方式进行推进,依然需要在DOD中定义安全需求,并且随着网络安全法的及等保2.0的强制要求下,更加需要在软件收集需求之初就要考虑安全要求与安全需求。
无论是小敏捷,还是规模化敏捷都需要在开发初期考虑安全的需求,业内比较流行的新模式是基于DevOps的DevSecOps模型。
网络安全法的颁布对于所有敏捷软件交付,提出了安全、可靠的管理要求,所有软件企业应充分认识到网络安全法及等保关于安全管理要求
安全开发生命周期SDL(The Trustworthy Computing Security Development Lifecycle)自 2004 发布起,SDL 作为很多巨型企业软件开发的计划和强制政策,将安全和隐私植入软件和企业文化方面发挥了重要作用。
通过将安全的整体方法和软件开发的实践方法相结合,SDL 致力于减少软件中漏洞的数量和严重性。SDL 在开发过程的所有阶段中均引入了安全和隐私。安全软件开发是未来10年软件向深化发展的必经之路。
4.附:网络安全法对于IT的要求(强制)
网络安全等级保护制度是《中华人民共和国网络安全法》的重要支撑与保障。国家实行网络安全等级保护制度每个企业在定义软件开发、系统运维,都需要考虑网络安全等级保护制度。其中关于网络安全专人负责中《中华人民共和国网络安全法》提到:
(一) 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责
(二) 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三) 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月
(四) 采取数据分类、重要数据备份和加密等措施
(五) 法律、行政法规规定的其他义务。《网络安全法》第三十一条
欢迎爬楼,看更多北京老李-DevOps相关内容,ITIL内容请关注”豆列“
https://www.douban.com/note/643862694/ DevOps Master课程:脚踏实地学Pre-Master,一步一个脚印成为DevOps Master
https://book.douban.com/review/8805640/ DevOps布道师为深度工作写的序:深度工作是心身的一种修练方法
https://book.douban.com/review/8795275/ 咨询基本功:咨询顾问基本功之书面沟通及“补充大餐”
https://www.douban.com/note/643251358/ DevOps定义编年史:通过DevOps定义看DevOps发展
https://www.douban.com/note/637838681/ DevOps应用:光大银行DevOps1.0到DevOps2.0研讨会实录
https://www.douban.com/note/639093367/ DevOps应用:民生银行IT一体化管理与自动化发展(1)
https://www.douban.com/note/638965340/ DevOps应用:工商银行DevOps进行时
https://www.douban.com/note/641427886/ DevOps应用:DevSecOps云下安全与云等保(云博会内容提前曝光)
https://book.douban.com/review/8820627/ 《把读到的知识转化为能力三步法及完美学习的四步法》
更多内容自己爬楼吧:
https://www.douban.com/note/646007197/ 敏捷辩论
1.安全软件开发需求
敏捷从中文的理解来看,原意一般是指动作或言行的反应迅速快捷。在应用到软件开发时,是指相对于传统的瀑布模型提出的敏捷开发管理方法,其特点在于应对VUCA市场瞬息万变、并客户需求不断地进行变化地软件交付的方法。
 |
安全软件开发是支持等保落地的基石 |
敏捷开发以用户的需求进化为核心,采用迭代、循序渐进的方法进行软件开发。在标准的敏捷开发其实没有更多的讨论功能性需求与非功能性需求,此说明在IT运维的标准ITIL(ISO/IEC20000)及开发运营一体化(DevOps)中进行了详细的说明。
那么为什么要讨论非功能需求,因为软件的运行,不仅仅有功能性需求,也有非功能性需求,而真正决定软件运行的质量,就在非功能性需求。
从传统敏捷来看,只有当需求不明确,并且工程实现不确定性时,使用敏捷方法才能解决软件交付的各种问题。在此作者提出,敏捷管理本身不能解决所有管理问题,在特定的情况下传统瀑布管理依然有其存在的必要求,例如:需求固定、工程几乎没有变化。
但是无论是哪一种模式,现有的软件开发中对于非功能需求中的安全、可靠的设计都很有待完善,不能仅通过测试(安全测试及渗透测试)的后期解决开发完成后的安全整改,应在开发前,针对于软件进行安全设计,目前这也是国内软件开发面临的问题。
2.安全运营一体化:安全软件开发模型(一)
自2001年敏捷宣言,敏捷方法也在进行着提升与进化,在进化的过程中产生了多种大敏捷的管理方法,包括SOS、Nexus、Spotify、SAFe、LeSS、DoD等多种方法。
什么是大规模敏捷,大规模敏捷”意味着从几个敏捷团队扩展到多个甚至几百个敏捷开发团队。通过规模化敏捷解决多个团队合作与协调的问题,其核心在于对齐与即时交付。
 |
安全运营一体化模型-北京老李-版权所有 |
各规模化管理模型中都未对安全开发进行引入需求,这就在很大程序上造成了软件安全漏洞,不仅仅在软件本身出来,并且在运行平台、中间件、使用端口、网站入口(Http并非是Hppts)多个情况下造成了无法达到安全软件开发的目标。
安全运营一体化是为了解决软件从开发之初就在考虑安全需求,并且在引入敏捷及大规模敏捷方法的前提下提前引入安全管理方法及安全模型、安全工具、安全测试,达到软件安全交付,安全运营的目标。
3.安全软件开发落实
《中华人民共和国网络安全法》由全国人民代表大会常务委员会于2016年11月7日发布,自2017年6月1日起施行。其核心是为了组织保障网络安全,维护与帮助国家保障网络空间主权的首要遵守的法律。
《中华人民共和国网络安全法》是保障及保卫国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展制定的我国首部法律条文。
其中在《DevOps Handbook》的副标题就明确地提出在技术组织中如何建立世界级的敏捷、可靠与安全的方法。在新形式下,所有软件开发与软件功能,都应强调安全、可靠、敏捷,并且三者,应相整合。
 |
DevOps2.0课程体及《DevOps Handbook》 |
在敏捷形态下的网络安全法及等保是DevSecOps在应用软件领域的最新实现方法,也是当前软件开发(敏捷开发)所必须要考虑的功能。在以前的软件实现中,更多的软件开发只考虑功能性需求,随着软件开发通过按特性(故事)的方式进行推进,依然需要在DOD中定义安全需求,并且随着网络安全法的及等保2.0的强制要求下,更加需要在软件收集需求之初就要考虑安全要求与安全需求。
无论是小敏捷,还是规模化敏捷都需要在开发初期考虑安全的需求,业内比较流行的新模式是基于DevOps的DevSecOps模型。
网络安全法的颁布对于所有敏捷软件交付,提出了安全、可靠的管理要求,所有软件企业应充分认识到网络安全法及等保关于安全管理要求
 |
安全开发生命周期支持网络安全法及等保2.0落地 |
安全开发生命周期SDL(The Trustworthy Computing Security Development Lifecycle)自 2004 发布起,SDL 作为很多巨型企业软件开发的计划和强制政策,将安全和隐私植入软件和企业文化方面发挥了重要作用。
通过将安全的整体方法和软件开发的实践方法相结合,SDL 致力于减少软件中漏洞的数量和严重性。SDL 在开发过程的所有阶段中均引入了安全和隐私。安全软件开发是未来10年软件向深化发展的必经之路。
4.附:网络安全法对于IT的要求(强制)
网络安全等级保护制度是《中华人民共和国网络安全法》的重要支撑与保障。国家实行网络安全等级保护制度每个企业在定义软件开发、系统运维,都需要考虑网络安全等级保护制度。其中关于网络安全专人负责中《中华人民共和国网络安全法》提到:
(一) 制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责
(二) 采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三) 采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月
(四) 采取数据分类、重要数据备份和加密等措施
(五) 法律、行政法规规定的其他义务。《网络安全法》第三十一条
欢迎爬楼,看更多北京老李-DevOps相关内容,ITIL内容请关注”豆列“
https://www.douban.com/note/643862694/ DevOps Master课程:脚踏实地学Pre-Master,一步一个脚印成为DevOps Master
https://book.douban.com/review/8805640/ DevOps布道师为深度工作写的序:深度工作是心身的一种修练方法
https://book.douban.com/review/8795275/ 咨询基本功:咨询顾问基本功之书面沟通及“补充大餐”
https://www.douban.com/note/643251358/ DevOps定义编年史:通过DevOps定义看DevOps发展
https://www.douban.com/note/637838681/ DevOps应用:光大银行DevOps1.0到DevOps2.0研讨会实录
https://www.douban.com/note/639093367/ DevOps应用:民生银行IT一体化管理与自动化发展(1)
https://www.douban.com/note/638965340/ DevOps应用:工商银行DevOps进行时
https://www.douban.com/note/641427886/ DevOps应用:DevSecOps云下安全与云等保(云博会内容提前曝光)
https://book.douban.com/review/8820627/ 《把读到的知识转化为能力三步法及完美学习的四步法》
更多内容自己爬楼吧:
https://www.douban.com/note/646007197/ 敏捷辩论
还没人赞这篇日记
