DevSecOps在大型企业的落地实践.pdf

DevSecOps在大型企业的落地实践 演讲人：周纪海 全球敏捷运维峰会广州站 内容 ➢ 自我介绍 ➢ DevSecOps简介 ➢ DevSecOps实现模型 ➢ DevSecOps工具 ➢ DevSecOps培训 ➢DevSecOps成熟度模型 全球敏捷运维峰会广州站 自我介绍 ➢ 英国伦敦帝国理工学院博士毕业 ➢ 多家国际大型银行工作经验 •苏格兰皇家银行 •瑞士联合银行 •英国巴克莱银行 •英国汇丰银行 ➢ 2012年起开始从事DevOps工作。2018年从汇丰银行伦敦总部转到广 州汇丰软件负责汇丰投资银行部门1500人规模开发团队的DevOps转型 全球敏捷运维峰会广州站 DevSecOps简介 全球敏捷运维峰会广州站 什么是DevSecOps ➢ 2012年，Gartner创建了“DevSecOps”概念，其原始术语为 “DevOpsSec” ➢ 2017 RSA峰会后，DevSecOps开始成为世界热门话题 ➢ DevSecOps是一种新方法，有助于在开发过程早期而不是在产品发布 后识别安全问题，这意味着DevSecOps将安全性从被动转变为主动 ➢ DevSecOps的目标是让每个人都对信息安全负责，而不仅仅是信息安 全部门 全球敏捷运维峰会广州站 什么是DevSecOps DevSecOps 旨在将安全性嵌入开发过程的每个部分。这意味着将应用安 全思维模式左移到开发团队。 全球敏捷运维峰会广州站 为什么需要DevSecOps ➢ 应用程序层是2016年数据泄露的主要原因 ➢ DevOps为开发团队带来更快，更好的协作， 可以在几周到几天内交付和部署软件。然而 快速创新与安全性的冲突，让安全性成为 DevOps的瓶颈 ➢ 许多公司里，直到整个软件开发生命周期 结束才解决网络安全问题 全球敏捷运维峰会广州站 实现DevSecOps的挑战 ➢ 美国威胁检测公司Threat Stack 针对北美大中小企业200多名安全，开发和运 维专业人员的一项新调查和报告表明，DevSecOps 仍然停留在理论阶段 ➢ 造成这种情况的主要原因是缺少高层的支持，业务领导者甚对此并不鼓励。 52% 的公司承认会削减安全措施，以便在截止日期前完成目标。报告作者表示： 速度成为开发业务中的首要目标，往往需要牺牲安全。 全球敏捷运维峰会广州站 实现DevSecOps的挑战 ➢ 62% 的受访者表示，DevOps 不利于在产品中实现安全技术部署；57% 的受 访者认为DevOps 阻碍了安全最佳实践。主要原因都是安全考量与高速开发互 相掣肘。 ➢ 安全与DevOps分割的三大关键因素 • 安全仍然是孤立的 ➢ 27%的运维团队配备了安全专家 ➢ 只有18%的开发团队配备了安全专家 • 开发与安全分割 –44%开发人员没有接受过安全编码的培训 • 安全与运维分割 –42%的运维人员没有接受过基本安全实践方面的培训 全球敏捷运维峰会广州站 实现DevSecOps的挑战 全球敏捷运维峰会广州站 DevSecOps好处 更快 –DevSecOps通过自动化和反馈向需要在发布之前积极参与ISR/IT Sec 的团队转移安全需求，从而缩短产品上市时间 控制风险 –为漏洞识别和修复提供基准安全标准，使项目团队能够在可接受 的风险标准内自我认证部署应用程序，从而降低业务和内部开发应用程序的整 体风险 节省成本 –DecSecOps减少了对网络安全部门的整体依赖，以动手执行发布 后代码和基础架构检查，从而整体降低补救成本 全球敏捷运维