信息安全资料张晓阳-DevSecOps安全提效与质量管控.pdfVIP

DevSecOps安全提效与

质量管控

构建高效安全的开发运维体系

汇报人张晓阳

ZHIWEN.XFYUN.CN

个人特点

个人介绍

目录01沿开发工作流“逆流而上

CONTENT

02以时间和空间为卡点

03底线思维提效

04平台建设闭环管理

05大模型在安全治理的探索

01

沿开发工作流“逆流而上

沿开发工作流“逆流而上”

开发工作流-产品，流程，技术

1.业务每个阶段闭环后向后一个阶段交付

2.每个阶段都会保留标准物料产出

3.提测，发布节点对版本质量进行审查

1.产品按着版本计划开发4.对过程数据集中梳理形成质量评分

2.产品多样但遵循相似的流程开发

1.业务开发技术不断进行升级更新

3.产品不同阶段有不同领域专家支撑

2.产品形态跟随技术更新越来越多

4.产品开发过程需求需要明确

3.技术升级更新带来新的安全挑战

5.产品希望通过平台间协作管理

沿开发工作流“逆流而上”

逆流而上的最佳实践-凿山开路

安全管理的价值与业务达成共识技术发展

1.可量化数值大于数量增长数值1.安全活动成本决定业务的响应时间1.关注科技技术迭代

2.管理制度要求需要平台做抓手2.安全活动易用性决定项目覆盖率2.关注业务技术迭代

3.做业务当前最关注的安全问题3.安全支撑度决定业务的配合度3.关注安全技术迭代

4.一个标杆项目大于一个专家4.漏洞正报率决定漏洞修复率

02

以时间和空间为卡点

快速迭代安全考量

迭代速度与安全平衡安全投入和基础设施

1.业务快速迭代追求效率1.当前安全工具和安全投入有哪些

2.技术的迭代带来安全的需求更高2.公司基础设施的支撑程度

3.在DevSecOps中，要找到两者平衡点3.业务项目模式复杂如何设定标准

关键节点点进行指引和审核