王忭思：申万宏源DevSecOps探索实践.pdfVIP

100天打造DevSecOps的落地

样板间

王忭思申万宏源

个人介绍

王忭思

申万宏源证券安全工程师

十年应用安全从业经历，负责应用安全，安全左移、desecops框架的建立、试点和推

广。具有丰富的理论和实践经验。

GOPS全球运维大会2023·上海站

1Devsecops背景

目录2打造Devsecops样板间

CONTENTS

01Devsecops背

景

政策导向——安全监管要求不断增强

建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证《证券公司网络和信息安全三年提升计划（2023-2025）》

安全技术措施同步规划、同步建设、同步使用中国证券业1、制定及完善涵盖自研系统和外购类系统的代码审计规范。

关键信息基础设施的运营者不履行…由有关主管部门责令改正，给予警告；拒不协会2、外购系统的代码审计，根据系统交付是否包含源代码，决定是否通过安全代码审计检查

网络安改正或者导致危害网络安全等后果的，处十万元以上一百万元以下罚款，对直接或要求供应商提供代码审计报告。重要系统新上线或重大变更必须全面完成“测试验收”，

重要信息系统的自动化测试比例不低于整体测试比例的30%。

全法负责的主管人员处一万元以上十万元以下罚款

最新征求意见稿：

移动互联网应用程序（APP）生命周期安全管理指南（征求

提升处罚为：处一百万元以上五千万元以下或者上一年度营业额百分之五以下国标

直接负责的主管人员和其他直接责任人员，处十万元以上一百万元以下罚款，且有禁业处罚意见稿）

a)应制定软件开发管理制度，明确说明开发过程的控制方法和人员行为准则；

《金融科技创新安全通用规范》

（安全左移）

等级保b)应制定代码编写安全规范，要求开发人员参照规范编写代码；（安全左移）a)应考虑功能逻辑设计的合理性，避免逻辑漏洞。

b)应避免调用存在安全漏洞的函数、组件。

c)应具备软件设计的相关文档和使用指南，并对文档使用进行控制；（安全左移）

护法c)应进行开源系统或组件的安全评估，及时进行漏洞修复和加固处理。

d)应保证在软件开发过程中对安全性进行测试，在软件安装前对可能存在的恶意