阿里发布安全基建大图 实现万行代码漏洞数下降56％

近日，阿里安全正式对外发布了全新的安全基建大图及应用安全企业标准。

业内人士评价称，在数字化进程中，许多中小企业没有能力部署、运营和驾驭一套复杂的安全体系，阿里安全推出的安全基建大图及完整构建体系，为整个产业的安全能力建设，提供了可快速复制的参考样板。

阿里发布的新一代安全架构主要包括安全技术、安全基建和安全运营三层核心。

安全技术层是安全底层能力的集合，向上支持安全基建层，安全基建层将能力沉淀为标准体系及配套的流程、产品，形成安全中台，通过中台建立可信的应用体系，达到风险预防免疫的效果。

作为三层核心架构中的“重心”，安全基建层的作用是在数字经济实体搭建过程中，建立标准化流程、引入关键技术，解决数字经济实体搭建的“安全施工标准”问题。

阿里安全首席架构师钱磊强调：“从建设之初就要开始打造免疫力，真正让新基建的每一块‘砖’都安全可溯源。”

在安全基建大图中，应用安全企业标准主要定义了应用安全从能力到产品、产品到流程、流程触达用户的要求与建设方案。其主要包括完备应用安全流程、构建相应管理机制、建设度量体系和为规范确认执行细节等四个部分。

此外，阿里安全团队还为新安全基建打造了一套应用可信体系。这套体系可保障应用本身的安全，比如运行环境安全，任意资源只能以应用的身份加入到可信应用网络中，其上运行的代码、存储的数据经过完整的安全生命研发周期。另外，还能保障应用调用的安全。

应用安全与人的安全意识紧密相关。参与安全基建大图设计的阿里安全高级产品运营专家岑汐认为，归根结底还是安全教育的问题，应该加强打造以安全技术和安全意识为中心的基建能力。

阿里发布的数字基建新一代安全架构目前已在阿里新零售事业群和淘宝直播等新兴业务场景应用落地，并取得了显著的安全性和稳定性成效。

“安全基建在新零售事业部的实践中，共计发现并完成整改282项风险，在企标、红线及配套体系产品落地后，万行代码引入漏洞数断崖式下降56%。”阿里安全高级安全专家林峻认为，将安全前置，从源头发现安全风险并予以预防，才是打造安全基建的核心要义。

目前，淘宝直播也已完成了全员安全能力认证。阿里安全资深技术专家铁花分析称，这套安全基建的完整建设方案不仅对阿里自身有效，对整个行业也具有极高的参考意义：“这是一套即插即用的标准化安全架构，可帮助社会各界在数字化进程中构建完整的安全基础设施”。

钱磊表示，阿里安全每天为超过7亿消费者和千万商家提供全面的安全保障，期待将掌握的安全服务能力和安全标准输出，帮助更多企业进行安全能力建设。 (吕骞)