华为云构建云原生 DevSecOps 平台，保障软件供应链全流程安全可信

2022 年 8 月 13 日，“2022 中国 DevOps 社区峰会-天津站”顺利召开，邀请了行业众多大咖专家齐聚一堂分享交流，旨在传播 DevOps 文化、落地 DevOps 实践。

主会场上，华为云产品经理刘皓发表了“DevSecOps 与软件供应链安全的业界实践”演讲，表示在面临网络安全挑战的大环境下，华为云构筑的云原生 DevSecOps 平台，打造了创新可控的安全服务，助力企业软件供应链全生命周期安全。

2022 年，Synopsys 对市场上 17 个行业的 2400 多个商用产品的代码进行了分析，其中开源软件代码率超过 78%，81%的代码都包含至少 1 个安全漏洞，53%的代码存在许可证冲突问题。

会上，刘皓分享到：“据 IDC 统计，国外公司的数据库产品占据了国内 80%以上的市场份额，但依照新的出口管制规定，国外产品发现漏洞只有先经过审核后再决定是否公布，这必将给国内的网络安全带来极大的负面影响。”

华为云产品经理刘皓发表“DevSecOps 与软件供应链安全的业界实践”主题演讲

面对严峻的安全形势，全球范围已制定新的供应链安全策略，从供应链管理、软件的正确使用、安全研发框架、最小安全测试要求等多个方面制定全套供应链安全保障的标准框架，而 DevSecOps 可以为供应链安全策略提供可落地的研发过程指导，从而降低供应链安全风险。

华为云基于华为 30 年的数字化转型经验和研发资源，构筑了一站式、全流程、安全可信的云原生的 DevSecOps 平台（华为云软件开发生产线 DevCloud），保障软件供应链的生产安全。

• 一站式 DevSecOps 平台

提供超过 10 多种端到端子服务，覆盖软件开发全生命周期，同时支持 7 大服务换内核，保障极端情况下的业务不中断，依托自研内核，将系统容量并发竞争力提升 1 倍多。

• 安全可信

保障软件生产线全生周期的核心要素端到端可追溯，构建统一的漏洞库和开源软件优选库；代码安全检查支持多种语言类型，污点分析能力业界领先；提供业界领先的代码仓，支持认证鉴权、加密存储、备份机制、角色控制权限；具备三级漏洞安全检查、开源 license 合规性检查能力，内置 15000 多条检查规则，确保在全球 200 多个国家和地区市场的安全运行。

其中漏洞扫描服务 VSS，具备检测全面、高效精准，无损扫描等特性优势，广泛应用于网站及主机扫描、二进制成分分析、移动应用安全扫描等场景。

• 网站及主机扫描：提供 Web 安全测试、网站安全检查等保合规认证；

• 二进制成分分析：不须依赖源码、安全可靠，覆盖 100 多个漏洞源及超过 400 万个开源组件版本，小时级频率更新漏洞，实现快速响应及修复，全面检测开源漏洞、安全配置、信息泄露等风险点。

二进制成分分析任务概况

二进制成分分析——开源漏洞分析

• 移动应用安全扫描：覆盖率高，包含国家 4 部委 20 多条标准，紧贴各类监管规范，为鸿蒙及安卓应用提供隐私、漏洞、权限多方位检测，帮助企业快速识别 APP 合规安全风险。

移动应用安全扫描任务概况

移动应用安全扫描——安全漏洞

• 应用场景全覆盖

满足微服务、API、移动应用、Web 应用、Serverless 应用、嵌入式应用等开发场景。比如在嵌入式场景，华为云提供业界领先的嵌入式场景云化工具，亿级代码构建仅需 1 小时，亿级用例管理、十万级用例并发测试，100+嵌入式代码检查规则，并支撑跨项目的协同管理。

目前，华为云软件开发生产线 DevCloud 已服务超过百万的企业与个人开发者用户，覆盖政务、工业、互联网、物流、教育、医疗、电商等诸多领域。比如，在物流领域，华为云携手德邦快递，半年时间内完成了从线下到云端开发流水线的转型，完成了 750 多条流水线业务交付，同时代码问题下降 71.74%，大幅提升了软件生产的安全性。

面对充满不确定性的市场环境，华为云云原生 DevSecOps 平台致力于为千行百业提供稳定安全的软件供应链生产环境，赋能企业应用现代化，助力企业更可控、更安全的数字化转型。

点击关注，第一时间了解华为云新鲜技术~