3. 大型银行DevSecOps体系建设和落地实践 - 汇丰科技周纪海（29页）.pdf

1、大型银行大型银行DevSecOpsDevSecOps体系建设和落地实践体系建设和落地实践演讲人：周纪海演讲时间：2021.07.21目录C o n t e n t sDevSecOps简介1DevSecOps现状2DevSecOps工具3实现DevSecOps的挑战5DevSecOps在大型银行的体系建设和落地实践4DevSecOps实现和运营模型6DevSecOps工具的自动化和使用7开发团队DevSecOps能力建设8DevSecOps成熟度分析9应用安全的进一步左移10自我介绍英国伦敦帝国理工学院博士2012年起开始在以下各大银行从事DevOps转型工作：瑞士联合银行英国巴克莱银行英国汇

2、丰银行 2018年3月,从汇丰银行伦敦本部转到广州汇丰科技中国,负责汇丰科技中国投行部1500开发人员的DevOps和DevSecOps转型.2019年底加入腾讯TEG，并于2020年作为首席技术布道师加入腾讯云CODING 2021年回到汇丰科技中国证券部门负责DevSecOps转型DevSecOps简介简介01什么是DevSecOps2012年，Gartner 提出了“DevSecOps”的理念(初始为“DevOpsSec”).DevSecOps的最终目的是将信息安全意识左移左移到开发团队,并因此让所有人都为信息安全负责为什么要左移应用生命周期各阶段中，修复安全漏洞的成本随着开发生命周期推

3、移而逐渐上升为什么需要DevSecOpsDevOps 的快速交付与传统安全模式形成冲突，让安全性成为束缚快速交付的瓶颈DevSecOps 的好处包含：快速交付控制风险节省成本DevSecOps现状现状02DevSecOps社区报告连续三年仍有一半左右的开发者承认他们没有时间去处理安全问题。再次验证了整体来说，安全仍然只是口头层面的重视Synopsys DevSecOps报告DevSecOps工具工具03DevSecOps工具类型从信息安全角度来看的话，可以分为以下几类：静态应用安全工具(SAST)动态应用安全工具(DAST)交互式应用安全工具(IAST)开源软件安全工具(SCA)DevSecO

4、ps工具 静态应用安全工具CheckmarxFortify 动态应用安全工具NetSpackerOWASP ZAP 交互式应用安全工具Contrast悬镜灵脉 开源软件安全工具Sonatype IQ ServerDependencies CheckBlackduckDevSecOps在大型银行的在大型银行的体系建设和落地实践体系建设和落地实践03企业实现DevSecOps的挑战汇丰银行DevSecOps落地体系建设一，DevSecOps运作实现模型开发团队信息安全团队DevSecOps负责人二、DevSecOps工具 SAST Checkmarx IAST Contrast FOSS Sona

5、type IQ Server三、DevSecOps培训 工具培训 在线培训课程 在线学习平台：Secure Code Warrior四、DevSecOps成熟度度量标准DevSecOps实现模型第一阶段 信息安全工具 将DevSecOps工具嵌入到CICD流水线中实现自动化安全扫描 生成并公开信息安全漏洞报表 根据团队情况定制化信息安全规则第二阶段 信心安全培训 信息安全工具中的教学材料 在线培训-Secure Code Warrior 信息安全咨询第三阶段 信息安全意识和”专家”建立信心安全意识和文化 培养开发团队中的”信息安全专家”DevSecOps运营模型将DevSecOps工具集成到C

6、ICD流水线首先,相关插件需要在Jenkins服务器上安装,比如Checkmarx Jenkins插件有两种方法可以在Jenkins上配置Checkmarx扫描 Freestyle job:在”Build”部分选择“Execute Checkmarx Scan项配置Checkmarx 服务器URL,权限和源代码路径 Pipeline jobCheckmarx 扫描结果报表可以在Jenkins界面上显示出来静态应用安全工具 CheckmarxCheckMarx 可以很容易地集成到CICD流水线里自动化安全漏洞扫描和报