A4--刘振君--数字化时代的DevSecOps安全工程实践.pdf

1、数字化时代的DevSecOps安全工程实践刘振君华为云计算技术有限公司刘振君华为云计算技术有限公司高级安全测试工程师负责华为云安全测试和安全工程能力工作；构建团队隐私测试和前端测试能力，熟悉隐私测试、web前后端安全测试，拥有多年安全测试经验；负责安全工程能力体系构建，倡导通过工程技术驱动安全隐私测试能力全面提升。目录C O N T E N T S1.议题背景2.安全工程能力总览3.DevSecOps五层防护网介绍4.落地效果5.未来的展望和思考议题背景01DevSecOps为何产生敏捷迭代DevI&VCICD容器Dev/Ops TeamDevOps安全防护自动化DevSecOpsDevOps

2、Sec应对不确定性响应业务DevSecOps安全威胁严重，安全防护滞后Built-in|自动化|一体化DevOps自动化|持续交付|持续监控|跨部门协作更短TTM，开发运维断裂业务变化快，开发响应滞后Agile Dev（敏捷开发）快速迭代|持续集成|拥抱变化Waterfall Model（瀑布模型）工序化|问题溯源准确|流程清晰分层设计客户需求明确，确保系统质量DevSecOps=DevOps+SecurityDevOps DevOps工具DevOps 开发团队和运维团队组织合并DevOps包含企业文化、团队协作流程、软件工程方法和工具链？DevSecOps 介绍DevSecOps 是 Dev

3、elopment,Security,and Operations（开发、安全、运维）的缩写，它结合了开发（Dev）、运维（Ops）和安全（Sec）。DevSecOps 的目标是通过在整个软件开发生命周期中自动化和集成安全措施，确保安全性成为开发过程中的内在部分，而不是后期的附加考虑。核心理念在 DevSecOps 模式下，安全不是一个独立的环节，而是整个开发过程的一部分。安全测试和控制被集成到开发、测试和部署的每一个阶段中。通过自动化工具和技术，在代码编写、构建、测试和部署的每个阶段进行安全检查。自动化工具可以检测代码中的漏洞、安全配置问题等。实施持续的安全监控，实时发现和响应潜在的安全问题。

4、通过反馈机制，团队可以快速修复和优化安全控制措施。推动团队内的安全意识，使每个开发人员、运维人员都意识到安全的重要性，并能够主动参与安全实践。安全融入研发流程自动化安全检查持续监控和反馈安全文化安全工程能力总览02DevSecOps 5层安全防护网第一道防线安全设计第二道防线安全编码第三道防线安全测试第四道防线安全运营第五道防线红蓝演练OPSDEV安全需求识别安全需求分析安全需求设计安全需求评审安全训战赋能安全组件防护编码级防护服务级防护安全文化建设安全工程技术安全能力中台安全测试活动安全漏洞管理安全运营安全城防图渗透测试红蓝联合演练03DevSecOps五层防护网介绍安全设计总体原则：以安全

5、可信规范为基础，以安全威胁分析为核心，对敏感信息资产进行隐私影响评估，输出安全的系统设计SecDesign(STRIDE)CloudDevOpsITIT业务场景分析威胁分析及风险评估可信要求定义GAP分析可信规划/OBP规划需求管道管理统一安全框架证书管理设计密钥管理设计认证凭据web设计安全公共设计能力需求识别需求设计需求分析需求评审1、内部安全可信规范、设计规范；2、外部监管规范。1、基于风险和基线库进行需求设计。1、通过STRIDE分析方法基于业务场景完成威胁分析；2、基于威胁分析识别威胁、脆弱性和风险。1、安全关键方案的安全设计须经过安全技术小组评审。安全设计威胁分析识别威胁、脆弱性和

6、风险消减措施识别威胁、脆弱性和风险安全编码需求开发训战赋能训战赋能编码编码代码代码提交提交个人桌个人桌面防护面防护代码合代码合入门禁入门禁MR检视检视每日构建每日构建流水线流水线流水线安流水线安全慢轨全慢轨开源漏开源漏洞扫描洞扫描迭代测试代码库版本版本构建构建研发环境安全活动 安全编码规范 编码规范工具：CodeCheck、FindBugs、安全编码规范 Clean Code 编码规范工具FindSecBugs、CodeCheck、FossBot 安全扫描与漏洞评估工具：Nexpose、SecureCAT、CodeCheck、Secbinarycheck