​近日，第九届ISC互联网安全大会于北京国家会议中心举行。华为云PaaS服务产品部安全专家受邀发表题为《华为20年研发安全积累，助力企业落地DevSecOps》的主题演讲。

在过去20年的演进中，华为积累了深厚的研发安全文化、流程和工具链，经历了超大规模复杂场景的考验。例如，每天执行的代码安全扫描量超过500亿行，每天执行的Web和主机漏洞扫描任务近10万个等等。这些积累，形成了华为云5大DevSecOps安全服务，可以帮助企业获得端到端的研发安全体系和能力。在敏捷开发过程中内置安全措施，让应用“天生安全，健康成长”。

华为云PaaS服务产品部安全专家在现场发表演讲

威胁建模服务：在产品设计早期识别并消减风险

威胁建模服务，对业界公认的STRIDE方法论进行了升级，用于系统威胁分析，提供分析维度、参考案例，辅助进行安全设计，识别风险；识别风险后，智能推荐消减措施及测试用例，输出分析报告；内置的华为长期积累的安全风险识别方案、消减方案、设计方案、测试用例、场景样例与知识，降低企业安全设计门槛。

隐私合规服务：解读GDPR、等保等法律法规，帮助企业满足合规要求

隐私合规服务，根据对GDPR、等保等的解读与分析，提供工具，生成隐私合规报告、隐私声明，帮助企业合规设计。根据隐私合规设计方案，自动生成和执行测试用例，最后给出隐私合规验证报告。内置的的隐私设计框架，可以帮助企业快速形成行业解决方案并复制至其它行业。

代码安全服务：多种源码安全静态检查，将风险拦截在编码阶段

该服务支持：

拦截多种语言安全问题：今年将陆续支持C/C++/Java/JS/Python/Go语言的安全问题的检查，拦截OWASP Top10、CWE等多类型的安全漏洞，为华为云CloudIDE提供IDE级代码检查能力、为CodeHub提供代码提交、合并阶段的门禁级检查，以及流水线自动化测试、出包阶段的版本级的安全问题检测。

高效闭环发现的安全问题：支持扫描告警屏蔽、屏蔽结果继承、告警修复建议等功能，协助问题快速分析和闭环。

内置华为优秀实践规则集、行业规则集：提供金融、车企等行业特有的安全编码扫描规则集，并提供华为云推荐规则集的合规检测。

漏洞扫描服务：多场景高精度漏洞扫描，走好上线前最后一公里

该服务已在华为云发布，并计划在下半年进行重大升级，支持：

全场景漏洞覆盖：覆盖Web、主机、镜像、开源软件、移动应用的漏洞扫描和隐私合规检查能力，支持华为、OWASP等业界优秀实践，支持等保2.0等标准。

专业的修复建议：提供典型Web漏洞精准检测，在CVE漏洞评估方面更贴近真实威胁；在APK开源组件扫描和信息泄露检测方面，具备更精准的检测能力，因此可以提供更专业的修复建议。

可升级的漏洞检测能力：聚焦最新安全漏洞，动态扩展扫描能力；可灵活集成第三方漏洞扫描引擎，统一报告展示，支持漏洞去重，也可被集成至第三方持续集成/持续发布的流水线中。

研发安全专家服务：企业既有工具，又建立安全文化

研发安全专家服务，可以为企业提供研发安全水平评估、检查能力定制、工具工程能力定制、安全运营体系咨询、设立工具评估标准等。帮助企业不仅用好安全工具链，更深刻认识安全流程如何协调团队和工具的使用，最后形成牢不可破的安全文化，将安全融入企业的基因中。

上述研发安全服务，许多能力已经上线国内领先的DevOps平台——华为云DevCloud，并将持续迭代，降低企业安全研发门槛，提升效率。华为云希望与更多的合作伙伴一道，进行产品、技术、商务等层面的合作，共同构建DevSecOps安全生态，为用户打造领先的应用安全解决方案。

【免责声明：CSDN本栏目发布信息，目的在于传播更多信息，丰富网络文化，稿件仅代表作者个人观点，与CSDN无关。其原创性以及中文陈述文字和文字内容未经本网证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本网不做任何保证或者承诺，请读者仅作参考，并请自行核实相关内容。凡注明为其他媒体来源的信息，均为转载自其他媒体，转载并不代表本网赞同其观点，也不代表本网对其真实性负责。您若对该稿件由任何怀疑或质疑，请即与CSDN联系，我们将迅速给您回应并做处理。】