1、DOD大会 - 进一步左移 - 架构安全与DevSecOps_汇丰科技中国（周一帆）.pdf

1、进一步左移架构安全与DevSecOps汇丰科技中国 周一帆2023 China DevOpsDays-8月12日 北京-3在新加坡及中国拥有多年的金融科技与信息安全行业工作经验。曾就职于汇丰环球银行与资本市场科技部，负责交易系统监控及DevOps开发运维一体化工具的管理。曾参与国内外多项重大信息安全与金融科技项目的实施与部署工作。熟悉DevOps，DevSecOps方法和工具。目前主要从事应用系统架构安全顾问，风险评估，威胁建模等工作。同时开展在汇丰集团内部的DevSecOps实施工作，协助各业务团队进行DevSecOps技术转型。国内第一本DevSecOps书籍DevSecOps实战作者之一

2、。周一帆汇丰科技中国信息安全部高级信息安全分析师1-DevSecOps的实践2-金融科技领域中的合规风险3-OWASP Top10与架构安全左移4-安全风险评估体系的建立5-案例分析目录331 DevSecOps的实践3为什么需要DevSecOps？lDevOps 让开发团队的产品交付更快,协作更好。传统信息安全交付模式和现代的快速持续交付理念形成冲突，从而使信息安全成为快速交付的瓶颈。l如果没有考虑到信息安全的DevOps，反而让产品更容易存在信息安全漏洞的风险。l速度和安全本身就是天生一对相辅相成的概念，DevSecOps的出现与实践，正是去帮助处于不同行业的实践者们去寻求速度和安全之间的

3、平衡点。3DevSecOps的最佳实践运营模型实现模型成熟度模型三个角色的协作开发团队信息安全团队DevSecOps实施负责人三个阶段三步走引入DevSecOps工具DevOps与信息安全知识、能力的培训意识文化和流程的建立多维度的评估工具的集成与使用情况团队组织架构情况DevSecOps实施负责人知识储备与问题解决能力三个角色的协作能力等DevSecOps的最终目标是引入一套框架，解决持续快速交付和信息安全之间的矛盾一个框架，三个模型，三个角色，三个阶段的结合，可视为实施DevSecOps的最佳实践之一。3DevSecOps工具安全工具链32 金融科技领域中的合规风险3近十年国内外发布的部分

4、与信息安全相关的法律、法规l新加坡于2012年通过的个人数据保护法l2016年11月7日，第十二届全国人民代表大会常务委员会第二十四次会议通过中华人民共和国网络安全法l2018年5月25日，欧洲联盟出台通用数据保护条例(GDPR)l2019年10月26日，第十三届全国人民代表大会常务委员会第十四次会议通过 中华人民共和国密码法l2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议通过中华人民共和国数据安全法l2021年8月20日，十三届全国人大常委会第三十次会议表决通过中华人民共和国个人信息保护法l2022年7月，国家网信办出台数据出境安全评估办法3近十年国内外发布的部分与信

5、息安全相关的法律、法规监管体系越来越健全 当前全球现行法律法规及行业标准中，与网络和信息安全有关的已有上百部。涉及网络运营安全、信息系统安全、数据安全、网络安全产品、保密及密码管理等多领域。涵盖从通信、金融等传统行业到各新兴互联网行业。监管形式多元化 有法律、有司法解释及相关文件、行政法规、法规性文件、部门规章、行业标准文件等。不同领域的监管机构错综复杂。存在不同国家与地区间监管差异 不同国家及区域，各类法规又有不同。知识产权壁垒。重要信息、数据在不同国家及地区中的流动往往受到强监管。因此，对于一家企业来说因此，对于一家企业来说，其产品其产品或业务的合规性直接影响着它面向或业务的合规性直接影响

6、着它面向未来市场的生命力与可持续发展性未来市场的生命力与可持续发展性。3近十年国内外发布的部分与信息安全相关的法律、法规但是，与合规风险相关的设计与管控措施，往往却在项目实施的早期阶段最容易被企业所忽视。因此，我们需要在这一阶段，就将与合规相关的管控措施引入，让安全部门在早期介入，与项目团队一起，共同实现架构安全审查的左移。33 OWASP Top 10与架构安全左移3OWASP Top10与架构安全左移OWASP（开放式Web应用程序安全项目）是一个开源的、非营利性的全球性安全组织，致力于改进Web应用程序的安全，这个组织最出名是，它总结了10种最严重的Web应用程序安全风险，警告全球所有的