- 1、本文档共33页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
DevSecOps在大型企业的落地实践
演讲人:周纪海
全球敏捷运维峰会广州站
内容
➢ 自我介绍
➢ DevSecOps简介
➢ DevSecOps实现模型
➢ DevSecOps工具
➢ DevSecOps培训
➢DevSecOps成熟度模型
全球敏捷运维峰会广州站
自我介绍
➢ 英国伦敦帝国理工学院博士毕业
➢ 多家国际大型银行工作经验
•苏格兰皇家银行
•瑞士联合银行
•英国巴克莱银行
•英国汇丰银行
➢ 2012年起开始从事DevOps工作。2018年从汇丰银行伦敦总部转到广
州汇丰软件负责汇丰投资银行部门1500人规模开发团队的DevOps转型
全球敏捷运维峰会广州站
DevSecOps简介
全球敏捷运维峰会广州站
什么是DevSecOps
➢ 2012年,Gartner创建了“DevSecOps”概念,其原始术语为
“DevOpsSec”
➢ 2017 RSA峰会后,DevSecOps开始成为世界热门话题
➢ DevSecOps是一种新方法,有助于在开发过程早期而不是在产品发布
后识别安全问题,这意味着DevSecOps将安全性从被动转变为主动
➢ DevSecOps的目标是让每个人都对信息安全负责,而不仅仅是信息安
全部门
全球敏捷运维峰会广州站
什么是DevSecOps
DevSecOps 旨在将安全性嵌入开发过程的每个部分。这意味着将应用安
全思维模式左移到开发团队。
全球敏捷运维峰会广州站
为什么需要DevSecOps
➢ 应用程序层是2016年数据泄露的主要原因
➢ DevOps为开发团队带来更快,更好的协作,
可以在几周到几天内交付和部署软件。然而
快速创新与安全性的冲突,让安全性成为
DevOps的瓶颈
➢ 许多公司里,直到整个软件开发生命周期
结束才解决网络安全问题
全球敏捷运维峰会广州站
实现DevSecOps的挑战
➢ 美国威胁检测公司Threat Stack 针对北美大中小企业200多名安全,开发和运
维专业人员的一项新调查和报告表明,DevSecOps 仍然停留在理论阶段
➢ 造成这种情况的主要原因是缺少高层的支持,业务领导者甚对此并不鼓励。
52% 的公司承认会削减安全措施,以便在截止日期前完成目标。报告作者表示:
速度成为开发业务中的首要目标,往往需要牺牲安全。
全球敏捷运维峰会广州站
实现DevSecOps的挑战
➢ 62% 的受访者表示,DevOps 不利于在产品中实现安全技术部署;57% 的受
访者认为DevOps 阻碍了安全最佳实践。主要原因都是安全考量与高速开发互
相掣肘。
➢ 安全与DevOps分割的三大关键因素
• 安全仍然是孤立的
➢ 27%的运维团队配备了安全专家
➢ 只有18%的开发团队配备了安全专家
• 开发与安全分割 –44%开发人员没有接受过安全编码的培训
• 安全与运维分割 –42%的运维人员没有接受过基本安全实践方面的培训
全球敏捷运维峰会广州站
实现DevSecOps的挑战
全球敏捷运维峰会广州站
DevSecOps好处
更快 –DevSecOps通过自动化和反馈向需要在发布之前积极参与ISR/IT Sec
的团队转移安全需求,从而缩短产品上市时间
控制风险 –为漏洞识别和修复提供基准安全标准,使项目团队能够在可接受
的风险标准内自我认证部署应用程序,从而降低业务和内部开发应用程序的整
体风险
节省成本 –DecSecOps减少了对网络安全部门的整体依赖,以动手执行发布
后代码和基础架构检查,从而整体降低补救成本
全球敏捷运维
文档评论(0)