研发运营安全白皮书（2020年）

【出版单位】云计算开源产业联盟

【编写单位】云计算开源产业联盟

【出版时间】2020.7

【摘要】

近年来，安全事件频发，究其原因，软件应用服务自身存在代码安全漏洞，被黑客利用攻击是导致安全事件发生的关键因素之一。随着信息化的发展，软件应用服务正在潜移默化的改变着生活的各个方面，渗透到各个行业和领域，其自身安全问题也愈发成为业界关注的焦点。传统研发运营模式之中，安全介入通常是在应用系统构建完成或功能模块搭建完成之后，位置相对滞后，无法完全覆盖研发阶段的安全问题。在此背景下，搭建整体的研发运营安全体系，强调安全左移，覆盖软件应用服务全生命周期安全，构建可信理念是至关重要的。本白皮书首先对于研发运营安全进行了概述，梳理了全球研发运营安全现状，随后对于信通院牵头搭建的研发运营安全体系进行了说明，归纳了研发运营安全所涉及的关键技术。最后，结合当前现状总结了研发运营安全未来的发展趋势，并分享了企业组织研发运营安全优秀实践案例以供参考。

【目录】

一、研发运营安全概述 1

（一）研发层面安全影响深远，安全左移势在必行 1

（二）覆盖软件应用服务全生命周期的研发运营安全体系 4

二、研发运营安全发展现状 5

（一）全球研发运营安全市场持续扩大 5

（二）国家及区域性国际组织统筹规划研发运营安全问题 7

（三）国际标准组织及第三方非盈利组织积极推进研发运营安全共识 12

（四）企业积极探索研发运营安全实践 14

（五）开发模式逐步向敏捷化发展，研发运营安全体系随之向敏捷化演进 19

三、研发运营安全关键要素 21

（一）覆盖软件应用服务全生命周期的研发运营安全体系 22

（二）研发运营安全解决方案同步发展 31

四、研发运营安全发展趋势展望 41

附录：研发运营安全优秀实践案例 43

（一）华为云可信研发运营案例 43

（二）腾讯研发运营安全实践 50

（三）国家基因库生命大数据平台研发运营安全案例 58