网站大量收购闲置独家精品文档,联系QQ:2885784924

DevSecOps标准解读优质文档课件.pptxVIP

  1. 1、本文档共13页,可阅读全部内容。
  2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多

DevSecOps标准解读

DevOps的定义:“开发(Dev)”和“运维(Ops)”的缩写,是一组过程、方法与系统的统称,强调业务人员及IT专业人员(开发、测试、运维等)在应用和服务生命周期中的协作和沟通;强调整个组织的合作以及交付和基础设施变更的自动化,从而实现持续集成、持续部署和持续交付等的无缝集成。DevSecOps的定义:是将信息安全的框架整合到DevOps的工作流程中,研发、运营、测试、安全多个部门紧密协作,在提升开发和运营敏捷性的同时,也保障了数据和服务的可用性与安全性。什么是DevSecOps?安全概念DevSecOps概念示意图

DevSecOps的由来2012Gartner的报告中首次提??了“DevOpsSec”这个概念2012年2017在RSA年度大会上“DevSecOps”成为了热门词汇,它是一种对DevOps的延展,DevSecOps提??安全是每个人的责任。2017年2017-至今至今DevOps的落地实践带动了DevSecOps的兴起,强调将信息安全的能力整合到DevOps的工作流程中,各部门重视安全,提升开发和运营敏捷性。传统开发模式中,安全介入较晚,且安全部门独立于软件开发、运维部门。

关于DevSecOps的几点理解?是一种安全的文化的渗透是制度流程和工具的集合是将安全性和合规性纳入软件全生命周期的方法是由学习和实践驱动的战略YesNo部署应用程序的能力在规模和速度上都得到了改善,但安全方面的考虑却常常被忽略,更倾向于快速满足业务需求。依靠应用程序来保持操作运行,开发过程中的安全性是上线的最后阶段执行,应用程序安全性必须加快以跟上软件开发的步伐。

DevSecOps生命周期计划阶段定义研发安全指标,进行威胁建模,安全工具培训等编码阶段IDE安全插件方式实现验证(测试)阶段在软件开发阶段消除这些漏洞可以降低企业的信息安全风险,包括SAST/DAST/IAST,SCA配置阶段签名验证、完整性校验和纵深防御检测阶段RASP、UEBA、网络监控和渗透测试响应阶段安全编排,基于RASP/WAF的安全防护、混淆DevSecOps的主要特征是通过在软件生命周期的各个阶段进行自动化,监控和应用安全性来提高客户成果和使命价值,包括计划,开发,构建,测试,发布,交付,部署,操作和监控等阶段。准生产环境混沌工程、模糊测试和集成测试发布阶段软件签名,传输等过程中防篡改预测阶段相关的脆弱性分析、IOC情报、STIX、TAXIIDevOpsSec优化阶段解决安全技术债、事件响应、纵深防御体系等不断适配、调整和优化ReDetect

标准背景说明牵头单位:工信部中国信息通信研究院(国家智库,可信云等出品单位)起草单位:中国信息通信研究院、云计算开源产业联盟、DevOps时代社区、高效运维社区、BATJ、中国银行、招商银行、平安科技、中国移动、中国联通和华为等目前进展:工信部和联合国ITU-T立项在研,2018年6月29日发布全量征求意见稿安全整风体险级管别理说标明准

安全及风险管理标准框架控制总体风险组织建设和人员管理安全工具链基础设施管理第三方管理度量与反馈改进数据管理控制开发过程风险需求管理设计管理开发过程管理控制交付过程风险配置管理构建管理测试管理部署与发布管理控制运营过程风险安全监控运营安全应急响应运营反馈《研发运营一体化(DevOps)能力成熟度模型第6部分:安全及风险管理》《研发运营一体化(DevOps)能力成熟度模型第6部分:安全及风险管理》标准是一种全新的安全理念与模式,强调安全是每个人的责任,指将安全内嵌到应用的全生命周期,在安全风险可控的前提下,帮助企业提升IT效能,更好地实现研发运营一体化,框架划分依据DevOps全生命周期分为:控制总体风险、控制开发过程风险、控制交付过程风险和控制运营过程风险四大部分。人人为安全负责·安全左移·全流程的安全内建·安全闭环

理、控制总体风险控制总体风险:在DevOps模式下,安全内建于开发、交付、运营过程中,总体风险包括三个过程中的共性安全要求,包括:组织建设和人员管理、安全工具链、基础设施管理、第三方管理、数据管理、度量与反馈改进。交付过程开发过程运营过程①组织建设与人员管理:在DevSecOps全过程中,建立对应的组织负责不同的安全职责,注重安全文化建设⑥度量与反馈改进:通过对研发、交付、运营过程的安全风险进行度量、展示并反馈给团队处理和改进④第三方管理第三方机构第三方人员第三方软件第三方服务合作/接入的安全风险控制③基础设施管理:要求基础设施在DevOps全生命周期中,提供安全、可靠、稳定、可持续的基础环境以及支撑服务的平

文档评论(0)

A~下一站守候 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档