覃阳青-数字化转型下的软件供应链安全及 DevSecOps 实践.pdfVIP

数字化转型下的软件供应链安全

及DevSecOps实践

覃阳青开发安全负责人

多年专注于金融行业的开发安全实践，现在安信证券负责软件安全开

发方案规划与落地和软件供应链开源软件治理的探索，对金融行业

的软件安全开发方面具有独到的见解。

现状与痛点

软件开发安全

软件供应链治理

开源软件治理

厂商直供

成熟产品、定制化开发

一体机、软件成品、源代码

合作开发

建设人员驻场开发、各自负责开发部分

模式开发商的开发过程管理、内部的开发流程管理

内部自研

瀑布模型、敏捷开发

系统保障级别高管理对象复杂

系统实时性、可用性、稳定性和业务信息系统来自不同的厂商，系统环境

连续性要求极高、可用性事件零容忍、多样、技术栈丰富、技术债不可知

5分钟红线开发模式多样

数字化特点

监管背景数据价值高

数字化转型用户数据量庞大

与监管或关联部门系统对接数据体现经济价值高，泄露造成的影

监管政策变化响面广

开源组件占60%+

据不完全统计，通常一个应用的第

三方组件占应用的60%~80%左右

业务代码38%

客户自己的业务代码约占整个项目

的38%

配置文件1%

程序运行时相对应的配置文件约占

1%

构建脚本0.5%

项目构建、打包等脚本程序

开源组件业务代码配置文件构建监本其他其他0.5%

其