电信-游耀东-基于云道的DevSecOps智适应威胁管理实践案例.（8页）.pdf

1、基于云道的基于云道的DevSecOpsDevSecOps智适应威胁管理实践智适应威胁管理实践演讲人中国电信上海研究院 游耀东云原生应用架构云网融合云网服务提供效率低:资源云化，大量IT系统上云打通云网安全保障挑战大：云原生开发，云内生安全，云网资源实现端到端的安全保障有效利用资源降低内部成本提升效率特征特征一体化供给，网络资源和云资源统一一体化运营，云和网统一化运营一体化服务，面向客户的云网服务现状挑战现状挑战机遇机遇定位定位IT与CT融合的新阶段新型信息基础设施底座赋能数字转型的基础底座云原生应用服务简介云道云道平台是什么云道平台作用是DevOps理念在中国电信系统上云的落地产品化平台全国集

2、约的软件工程、需求实现过程的生产/管理平台全网项目管理、测试、版本发布、配置管理提供手段工具建立软件生产自动化流水线，提升业务交付速度，提高软件质量和安全实现软件从传统线下瀑布式模式到敏捷开发运营一体化的数字化转型为开发团队提供研发云平台，固化应用开发需要的规范、框架、公共库，降低应用开发难度和工作量，复用已有软件资源。云道是生产云应用的企业级集成开发平台，提供研发运营一体化全生命周期管理工具和资源，为应用上云提供端到端支持。云原生应用服务简介云道云道安全能力特点DevOps+Security 安全职责共担 安全左移 内嵌-自动化流程 快速迭代 全生命周期安全人员能力人员能力开发人员缺乏安全意

3、识安全人员水平参差不齐技术规模技术规模系统种类，IT技术栈繁多资产总量巨大技术债务不一致开源软件安全隐患大效率速度效率速度安全检测严重影响开发效率漏洞缺陷分析耗费大量人力推广实施推广实施安全规则/要求多投入大，见效慢安全推广有阻力解决应用服务创新点云原生安全云原生安全Innovation2.新实践新实践4.生态融合生态融合天翼云生态,云原生能力助力产业数字化转型1.新技术新技术通信行业最完整的云原生安全工具链:SAST+SCA+DAST+IAST+容器安全+BAS+威胁建模+RASP的多引擎融合3.新热点融合新热点融合深度融合开源威胁治理体系探索安全检测全自动化编排通信行业首次大规模推行Dev

4、SecOps实践首次大规模应用RASP技术应对HW等场景应用效益01代码代码20 亿亿+行代码行代码系统系统3000+部署包部署包90000+02用户用户4000+31省分公司省分公司130+合作伙伴合作伙伴03SAST+SCA+DAST+IAST威胁建模威胁建模+BAS+RASP+容器安全多引容器安全多引擎融合擎融合04大幅消减传统大幅消减传统SQL注入注入深度治理开源软件漏洞深度治理开源软件漏洞全面改善镜像安全问题全面改善镜像安全问题05内嵌全自动化安全检测，常态化风险发现内嵌全自动化安全检测，常态化风险发现安全质量统一管控，风险可视化安全质量统一管控，风险可视化06项目漏洞平均风险值下降了项目漏洞平均风险值下降了23%项目平均高危漏洞数下降了项目平均高危漏洞数下降了26%并持续下降中并持续下降中THANKS!THANKS!