2019年DevSecOps在大型企业的落地实践.pdf

1、全球敏捷运维峰会广州站DevSecOps在大型企业的落地实践在大型企业的落地实践全球敏捷运维峰会广州站内容 自我介绍 DevSecOps简介 DevSecOps实现模型 DevSecOps工具 DevSecOps培训DevSecOps成熟度模型全球敏捷运维峰会广州站DevSecOps简介全球敏捷运维峰会广州站什么是DevSecOps 2012年，Gartner创建了“DevSecOps”概念，其原始术语为“DevOpsSec”2017 RSA峰会后，DevSecOps开始成为世界热门话题 DevSecOps是一种新方法，有助于在开发过程早期而不是在产品发布后识别安全问题，这意味着DevSecO

2、ps将安全性从被动转变为主动 DevSecOps的目标是让每个人都对信息安全负责，而不仅仅是信息安全部门全球敏捷运维峰会广州站什么是DevSecOpsDevSecOps旨在将安全性嵌入开发过程的每个部分。这意味着将应用安全思维模式左移到开发团队。全球敏捷运维峰会广州站为什么需要DevSecOps 应用程序层是2016年数据泄露的主要原因 DevOps为开发团队带来更快，更好的协作，可以在几周到几天内交付和部署软件。然而快速创新与安全性的冲突，让安全性成为DevOps的瓶颈 许多公司里，直到整个软件开发生命周期结束才解决网络安全问题全球敏捷运维峰会广州站实现DevSecOps的挑战 美国威胁检测

3、公司 Threat Stack 针对北美大中小企业200多名安全，开发和运维专业人员的一项新调查和报告表明，DevSecOps 仍然停留在理论阶段 造成这种情况的主要原因是缺少高层的支持，业务领导者甚对此并不鼓励。52%的公司承认会削减安全措施，以便在截止日期前完成目标。报告作者表示：速度成为开发业务中的首要目标，往往需要牺牲安全。全球敏捷运维峰会广州站实现DevSecOps的挑战 62%的受访者表示，DevOps 不利于在产品中实现安全技术部署；57%的受访者认为 DevOps 阻碍了安全最佳实践。主要原因都是安全考量与高速开发互相掣肘。安全与DevOps分割的三大关键因素 安全仍然是孤立的

4、 27%的运维团队配备了安全专家 只有18%的开发团队配备了安全专家 开发与安全分割 44%开发人员没有接受过安全编码的培训 安全与运维分割 42%的运维人员没有接受过基本安全实践方面的培训全球敏捷运维峰会广州站实现DevSecOps的挑战全球敏捷运维峰会广州站DevSecOps好处更快更快 DevSecOps通过自动化和反馈向需要在发布之前积极参与ISR/IT Sec的团队转移安全需求，从而缩短产品上市时间控制风险控制风险 为漏洞识别和修复提供基准安全标准，使项目团队能够在可接受的风险标准内自我认证部署应用程序，从而降低业务和内部开发应用程序的整体风险节省成本节省成本 DecSecOps减少

5、了对网络安全部门的整体依赖，以动手执行发布后代码和基础架构检查，从而整体降低补救成本全球敏捷运维峰会广州站DevSecOps最佳实践全球敏捷运维峰会广州站OWASP Top 10大安全漏洞OWASP是一个开源的、非盈利的全球性安全组织，致力于应用软件的安全研究。他的使命是使应用软件更加安全，使企业和组织能够对应用安全风险做出更清晰的决策。目前OWASP全球拥有250个分部近7万名会员，共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展OWASP在业界被视为web应用安全领域的权威参考。OWASP TOP 10为IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的

6、主要标准全球敏捷运维峰会广州站DevSecOps实现模型全球敏捷运维峰会广州站DevSecOps实现模型第一阶段第一阶段 信息安全工具信息安全工具将DevSecOps工具嵌入到CICD流水线中实现自动化安全漏洞扫描生成并公开信息安全漏洞报表 第二阶段第二阶段 信心安全培训信心安全培训信息安全工具学习信息安全知识培训 第三阶段第三阶段 信息安全意识和信息安全意识和”专家专家”建立信心安全意识和文化培养开发团队中的”信息安全专家”全球敏捷运维峰会广州站DevSecOps运营模型全球敏捷运维峰会广州站DevSecOps工具全球敏捷运维峰会广州站DevSecOp