中移信息-王庆栋-基于DevSecOps打造安全左移的磐舟一体化开发交付体系（17页）.pdf

1、基于DevSecOps打造安全左移的磐舟一体化开发交付实践王庆栋中移动信息技术有限公司02提供的安全左移能力03安全左移开发实践总结01一体化开发交付平台业务的架构转变极大地促进了IT IT模式转变和技术变革随着云原生的快速发展，传统架构已经转向了应用现代化架构，业务驱动作为最大的驱动因素，极大地促进了IT模式转变和技术变革，促使企业/组织更快地上线业务应用，把握瞬息万变的市场需求。同时，应用的现代化模式，以其更高效的技术理念及手段，提升了IT运行效率和优化了资源使用率。在向现代化转型过程中，对现有信息化架构、运维模式、应用开发、测试流程、业务数据、管理模式、安全需求等都带来较为严峻的挑战。急

2、需引入新的理念并落地实践来应对挑战。IT支撑业务IT服务业务IT驱动业务硬件支撑资源池化统一运维资源虚拟化关键应用云化安全运维智能化资源交付自动化容器化建设微服务化改造云原生构建DevOps建设DevSecOps体系引进基于DevOps文化，工具+团队服务于云原生应用DevOps代表了一种 IT文化的变化，专注在面向系统的方法的背景下，采用敏捷、精益的实践来提供快速的IT服务。需求的频繁升级与快速交付、代码不断迭代、运行的弹性响应与SLA等需求，对研发安全、安全检测与防护提出了更高的要求。云原生应用，充分利用平台的能力，把安全工具转换为安全能力（服务），赋能给研发、测试以及应用，保障应用价值的

3、释放，体现技术价值。持续集成(CI)-持续交付(CD)-持续部署(CD)-持续运营(CO)持续测试(Continue Testing)测试右移过程左移尽快尽早交付价值、迭代指导原则、最佳实践全局打通敏捷研测维端到端工具链整合落地统具链统协作技术规范流程规范体系建设统协作平台动化测试部署运维项管理研发流程发布管理运营管理测试管理设计管理需求设计代码开发DevOps=+流程+具文化建设标准与规范建设工具链建设打造安全能力左移的磐舟一体化交付平台规划建设拉通需求、开发、测试、部署、运维一体的生产流水线开发过程自主可控沉淀软件代码资产提升开发交付效率一键发布上磐基，实现“乘舟上云，稳如磐基”代码仓库：

4、托管代码仓库4000+，代码提交15万+，管理代码行数6.4 亿+制品库：托管60万+依赖包，服务次数4.8亿+，镜像访问次数4亿+构建与部署：生产扫描4万+，总构建次数9万+，总部署次数62万+支撑范围：已支撑1000+开发项，周活跃用户数700+自动化测试持续交付生产运行系统A系统B系统N服务化服务化开发测试容器、微服务低代码、敏捷开发需求安全分析代码安全审计自动化编译灰度发布运行监控弹性扩容安全检测GitOps引擎云原生CICD微服务开发框架ServiceMesh能力开放公共基础标准化、自动化、全流程、整体交付核心技术磐舟磐基磐舟一体化开发交付平台提供敏捷开发管理、DevSecOps工具

5、链、各类安全的工具与安全服务，与磐基PaaS云共平台、共研发、共能力，把最佳实践与经验固化为平台工具，支撑应用从开发阶段生于云上，融入云里，最终成长为云原生应用，充分释放云原生价值。核心价值IT线条业务系统开发交付工作全量上磐舟已全面开展全网推广工作应用推广磐舟DevSecOps安全能力建设在安全防护方面，磐舟DevSecOps覆盖需求阶段、开发阶段、自动化构建、测试阶段、生产运行等方面。需求阶段通过分解需求形成安全需求清单、安全设计清单。研发、构建阶段通过在研发流水线中加入安全检测点，设立安全门禁，形成安全流水线，尽早发现安全问题，尽早修复，避免带入生产、降低生产安全威胁。测试阶段通过灰盒测

6、试实现对需求阶段中安全需求清单的审计，与需求阶段形成呼应。构建端到端的安全防护体系，将安全提前到需求阶段，从需求、代码开发阶段强化安全意识，保障应用运行安全。研发安全构建交付代码安全扫描代码质量扫描代码授权管理SQL注入检测代码安全门禁开源组件安全扫描敏感信息扫描镜像签名校验测试安全接口测试系统功能测试灰盒测试安全功能审计性能测试镜像安全扫描基础镜像安全加固需求安全法律法规安全标准监管要求功能收集分析安全需求清单安全设计清单02提供的安全左移能力03安全左移开发实践总结01一体化开发交付平台需求安全分析将安全左移至需求阶段安全设计清单安全需求清单列表识别体系化结构缺陷节约组织安全成本落地Dev