近期，默安科技董事兼副总裁沈锡镛在中国计算机学会TF第61期（CCF TF61）开发安全与软件供应链安全论坛中，分享了他对数字化转型期下的开发安全体系建设和软件供应链安全治理的观点和实践经验。

沈锡镛简介

默安科技董事兼副总裁、全国证监会信息安全专家、英国标准协会全球专家、可信云联盟的联合发起人；曾任阿里经济体创新事业群首席风险官、阿里云全球合规标准总监，拥有全国最高安全等级互联网业务大安全建设和运营经验，是阿里经济体安全合规业务的奠基人。

本次分享从战时与平时两种不同阶段展开，“战时”阶段，如何收敛数据安全攻击面，夯实“供方”安全责任；而在“平时”阶段，理解数字化转型要素，构建开发安全体系非常重要，其中，沈总对数字化单位与数字化转型单位在建设开发安全体系过程中存在的相同点与差异性进行分析，分享了两种单位的开发安全体系建设路径，这对数字化和处于数字化转型期单位的开发安全体系建设有很大的参考价值。

“战时”借助开发安全体系提升安全实效

在网络安全攻防演练的最新趋势下，开发安全和软件供应链安全如何确保安全成效？对此，沈总首先从数据安全、攻击面、安全排查三个角度介绍了防守方所面临的安全问题：

存放大量个人敏感信息、重要业务数据、系统源代码等的系统极有可能被重点攻击，各防守单位是否清楚自身在网络上泄露这些数据的途径就是防守最先应该考虑的层面。同时，整个开发安全体系涉及到多样化的应用形态，软件供应链日趋复杂，导致低代码应用、 API接口、各类数据交互通道、第三方组件、开源代码等都遭到安全威胁。

如何收敛数据安全攻击面，应对以上风险？对于软件开发商而言，根据各单位开发安全建设程度的不同，所采取的策略也有所不同：

1 对于处于在开发安全体系落地阶段的单位，需借助安全需求和设计环节，筛选存量承载重要数据的应用范围。

2 对于安全左移到软件测试阶段的单位，需借助软件安全测试和漏洞运营流程，大幅度全面收敛应用漏洞和API暴露风险。

3 对于安全进一步左移到软件架构阶段的单位，需借助安全架构评审基础，收敛软件供应链成分风险，演习应急方案。

4 对于防守方的软化外包开发企业，需积极构建开发安全体系，应对“需方”软件供应链安全要求。

“平时”构建数字化转型下开发安全体系的路径

在日常安全运营中，如何建设开发安全体系，收敛软件供应链风险？通过梳理数字化转型和开发安全的关系、对比处于不同数字化转型阶段的单位去落地开发安全的路径，沈总分享了确保开发安全体系落地的要点。

理清数字化转型和开发安全的关系

在数字化转型趋势下，软件产品是数字化转型的承载方式，数字化业务需要通过数据和用户需求驱动来构建和迭代应用。举个智能制造业的例子，有些成功的手机厂商，就是通过数字化分析自身用户社区的需求共性来指导手机的设计和配置，让用户对产品设计有参与感，形成了粉丝销售模式。

因此，很多传统企业希望借助数字化应用经验创新扩大消费感知面、优化设计、制造和销售模式、提升供应链的周转效率，“软件能力”成为数字化转型的核心竞争力。软件与业务的深度融合，导致软件质量会直接影响业务连续性，一次业务中断可能会造成巨大损失，而开发安全则是保证软件安全的根本手段。根据CNVD的统计数据，目前绝大部分漏洞都发生在应用层面，因此开发安全能够将大多数漏洞扼杀在摇篮当中。

数字化单位 VS 数字化转型期的单位——建设开发安全体系的异同点

1 共性点

● 安全部门主导效果、借助政策、事件和专项来提升应用由内到外的整体安全质量，侧重安全和合规效果。

● 研发部门主导效率、借助安全需求，借力提升人员开发安全意识和技能、将安全工具深度整合进研发技术体系，侧重整体研发人员的安全成效。

2 差异性

二者虽然都起步于工具落地、漏洞流程推进，但互联网公司的安全部门更希望借助已经打通的流程和对开发的了解，去构建大安全基线，乃至打造组织安全文化、延展开发安全的内涵。而传统企业有成熟的体系、流程和岗位职责，更希望通过开发安全管理平台的落地，提升人员安全意识和技能，同时引入工具、打通各类开发中台，这样看似行动会慢一点，但可以提升组织落地体系的成功率，减少试错成本。

数字化单位 VS 数字化转型期的单位——建设开发安全体系及收敛软件供应链风险的路径

1 数字化单位

0.5 阶段

采用渗透测试推动建立漏洞定级和修复流程，让漏洞能找到人去修；同时初步构建供应链管理中的三方软件引入的质量筛查工作。

1.0 阶段

引入开发安全工具，从开发或测试阶段充分发现安全漏洞，固化漏洞安全管理流程，引导开发人员开展安全编程，降低上线前安全回退的概率；在供应链管理阶段完成供应链资产梳理工作，工具引入完成后，积累下各业务系统的供应链资产清单。

1.5 阶段

打通开发安全评审流程，促使各方人员具备开发安全流程观念。开发部门设定安全对接人、优化安全修复效率、制定安全考核机制，基于上一阶段的供应链资产库，实现对供应链漏洞风险有快速定位与以及人工处置的基本能力。

2.0 阶段

借助流程延展数据安全、业务风控、安全合规在应用设计阶段的安全内容。开发部门设立安全测试岗位，开展全面的安全问题在代码或测试阶段的检测，工程效率部门考虑依托CMMI或DevSecOps构建高效的开发安全中台，提升整体安全效率，实现对供应链漏洞有基于WAF/RASP等快速止血自动化处置的能力。

2 处于数字化转型中的单位

0.5 阶段

采用渗透测试推动建立漏洞定级和修复流程，让漏洞能找到人去修；同时初步构建供应链管理中的三方软件引入的质量筛查工作。

1.0 阶段

开展内部等保系统定级，建立适应单位自身的系统安全上线流程，开展系统上线安全评估，渗透测试常态化。

1.5 阶段

借助流程开展安全需求评审，提升项目经理安全意识，打下安全设计和安全编码的意识基础，试水开发安全工具。在供应链管理阶段完成供应链资产梳理工作，工具引入完成后，积累下各业务系统的供应链资产清单。

2.0 阶段

将安全上线流程升级为开发安全管理平台，深入开展针对项目经理、产品经理、研发架构、安全编码、安全测试的安全培训，开展多样化开发安全运营活动，再优化和固化开发安全流程；接入各类开发安全工具，打通多样化开发模式下的开发安全活动统一管理；基于上一阶段的供应链资产库，实现对供应链漏洞风险有快速定位与以及人工处置的基本能力。对于发展较快的单位，也要求完成快速止血自动化处置能力的建设。

最后，不能忽视的开发安全体系建设要素

分享最后，沈总根据自己多年来在安全行业的经验，面向开发安全体系建设过程中的甲方和乙方给出了自己的建议：

1 开发安全体系不是靠标准定义出来的，它来源于“不断迭代、持续延展”。

2 从CIO视角看，开发整体投入中包含安全是为了降低业务面临随机安全事件导致的不可控成本，但无法也不应该改变研发中心对各部分的投入次序：功能上线＞稳定性＞安全和隐私。

3 从研发负责人角度看，数字化转型的研发中台打造优先级＞开发安全体系的构建，但可以接受工具和赋能的部分开展。

4 软件供应链安全对落地开发安全体系的甲方单位是必须的安全工作，对乙方开发企业就是建设开发安全体系的业务合规门槛。

▶▶ 在软件供应链安全领域步履不停

6月17日，由中国信息通信研究院（以下简称“信通院”）主办的“软件供应链安全论坛”召开，会上，信通院正式宣布“软件供应链安全实验室（3S-Lab）”成立，默安科技成功入选实验室首批成员单位。

基于领先的技术实力，默安科技在2020、2021年连续成为Gartner软件成分分析市场指南推荐的唯一中国厂商，同时也作为亚太唯一IAST推荐厂商入选2021 Gartner应用安全技术成熟度曲线。经过多年发展和经验沉淀，默安科技已逐渐成为国内软件供应链安全解决方案的主流提供商，受到广大用户和业内人士的认可和推荐。

默安科技加入软件供应链安全实验室（3S-Lab），将进一步加强自身在软件供应链安全领域的创新能力，加速开展软件供应链中各类关键技术的研究工作，为推动软件供应链安全产业健康、有序、稳定发展贡献力量。