DevSecOps在大型企业的落地实践

在国内外大型银行均从事过DevOps工作的周纪海老师,带来了一种全新的安全理念与模式——DevSecOps,目标是实现研发、运维和安全一体化。以往信息安全往往和DevOps形成冲突,成为快速交付中的瓶颈。周纪海老师以亲身落地DevSecOps的经验为例,向大家展示了DevSecOps的实现模型、工具、培训,以及成熟度模型。

展开查看详情

1.DevSecOps在大型企业的落地实践 演讲人:周纪海 全球敏捷运维峰会 广州站

2.内容 ➢ 自我介绍 ➢ DevSecOps简介 ➢ DevSecOps实现模型 ➢ DevSecOps工具 ➢ DevSecOps培训 ➢DevSecOps成熟度模型 全球敏捷运维峰会 广州站

3.自我介绍 ➢ 英国伦敦帝国理工学院博士毕业 ➢ 多家国际大型银行工作经验 • 苏格兰皇家银行 • 瑞士联合银行 • 英国巴克莱银行 • 英国汇丰银行 ➢ 2012年起开始从事DevOps工作。2018年从汇丰银行伦敦总部转到广 州汇丰软件负责汇丰投资银行部门1500人规模开发团队的DevOps转型 全球敏捷运维峰会 广州站

4. DevSecOps简介 全球敏捷运维峰会 广州站

5.什么是DevSecOps ➢ 2012年, Gartner创建了“DevSecOps”概念,其原始术语为 “DevOpsSec” ➢ 2017 RSA峰会后,DevSecOps开始成为世界热门话题 ➢ DevSecOps是一种新方法,有助于在开发过程早期而不是在产品发布 后识别安全问题,这意味着DevSecOps将安全性从被动转变为主动 ➢ DevSecOps的目标是让每个人都对信息安全负责,而不仅仅是信息安 全部门 全球敏捷运维峰会 广州站

6.什么是DevSecOps DevSecOps旨在将安全性嵌入开发过程的每个部分。这意味着将应用安 全思维模式左移到开发团队。 全球敏捷运维峰会 广州站

7.为什么需要DevSecOps ➢ 应用程序层是2016年数据泄露的主要原因 ➢ DevOps为开发团队带来更快,更好的协作, 可以在几周到几天内交付和部署软件。然而 快速创新与安全性的冲突,让安全性成为 DevOps的瓶颈 ➢ 许多公司里,直到整个软件开发生命周期 结束才解决网络安全问题 全球敏捷运维峰会 广州站

8.实现DevSecOps的挑战 ➢ 美国威胁检测公司 Threat Stack 针对北美大中小企业200多名安全,开发和运 维专业人员的一项新调查和报告表明,DevSecOps 仍然停留在理论阶段 ➢ 造成这种情况的主要原因是缺少高层的支持,业务领导者甚对此并不鼓励。 52% 的公司承认会削减安全措施,以便在截止日期前完成目标。报告作者表示: 速度成为开发业务中的首要目标,往往需要牺牲安全。 全球敏捷运维峰会 广州站

9.实现DevSecOps的挑战 ➢ 62% 的受访者表示,DevOps 不利于在产品中实现安全技术部署;57% 的受 访者认为 DevOps 阻碍了安全最佳实践。主要原因都是安全考量与高速开发互 相掣肘。 ➢ 安全与DevOps分割的三大关键因素 • 安全仍然是孤立的 ➢ 27%的运维团队配备了安全专家 ➢ 只有18%的开发团队配备了安全专家 • 开发与安全分割 – 44%开发人员没有接受过安全编码的培训 • 安全与运维分割 – 42%的运维人员没有接受过基本安全实践方面的培训 全球敏捷运维峰会 广州站

10.实现DevSecOps的挑战 全球敏捷运维峰会 广州站

11.DevSecOps好处 更快 – DevSecOps通过自动化和反馈向需要在发布之前积极参与ISR/IT Sec 的团队转移安全需求,从而缩短产品上市时间 控制风险 – 为漏洞识别和修复提供基准安全标准,使项目团队能够在可接受 的风险标准内自我认证部署应用程序,从而降低业务和内部开发应用程序的整 体风险 节省成本 – DecSecOps减少了对网络安全部门的整体依赖,以动手执行发布 后代码和基础架构检查,从而整体降低补救成本 全球敏捷运维峰会 广州站

12.DevSecOps最佳实践 全球敏捷运维峰会 广州站

13.OWASP Top 10大安全漏洞  OWASP是一个开源的、非盈利的全球性安全 组织,致力于应用软件的安全研究。他的 使命是使应用软件更加安全,使企业和组 织能够对应用安全风险做出更清晰的决策。 目前OWASP全球拥有250个分部近7万名会员, 共同推动了安全标准、安全测试工具、安 全指导手册等应用安全技术的发展  OWASP在业界被视为web应用安全领域的权 威参考。OWASP TOP 10为IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要标准 全球敏捷运维峰会 广州站

14.DevSecOps实现模型 全球敏捷运维峰会 广州站

15.DevSecOps实现模型 • 第一阶段 – 信息安全工具 ➢ 将DevSecOps工具嵌入到CICD流水线中实现 自动化安全漏洞扫描 ➢ 生成并公开信息安全漏洞报表 • 第二阶段 – 信心安全培训 ➢ 信息安全工具学习 ➢ 信息安全知识培训 • 第三阶段 – 信息安全意识和”专家” ➢ 建立信心安全意识和文化 ➢ 培养开发团队中的”信息安全专家” 全球敏捷运维峰会 广州站

16.DevSecOps运营模型 全球敏捷运维峰会 广州站

17. DevSecOps工具 全球敏捷运维峰会 广州站

18.DevSecOps工具 ➢ DevSecOps工具通过扫描开发代码和第三方插件,模拟攻击行为,从而帮助开 发团队发现开发过程中潜在的信息安全漏洞 ➢ 从信息安全角度来看的话,DevSecOps工具可以分为以下几类 • 静态应用安全工具 (SAST) • 动态应用安全工具 (DAST) • 交互式应用安全工具 (IAST) • 开源软件安全工具(FOSS) • 基础设施安全工具 全球敏捷运维峰会 广州站

19.DevSecOps工具 ➢ 静态应用安全工具 (SAST) • Checkmarx • Fortify • IBM AppScan ➢ 动态应用安全工具(DAST/IAST) • Contrast • OWASP ZAP ➢ 开源软件安全工具(FOSS) • Sonatype IQ Server • Dependencies Check ➢ 基础设施安全工具 • Nessus 全球敏捷运维峰会 广州站

20.SDLC 中的DevSecOps工具 设计 编码 测试 部署 工具 ❖ 风险评估 ❖ 同行审查 ❖ 动态/交互式安全 ❖ 变更管理 ▪ 范围评估 ❖ 工件签名 安全测 ▪ 时间窗户 输出 ▪ 安全设计评估 ❖ 静态代码检查 (DAST/IAST) ▪ 发布审核流程 ▪ 威胁建模 ❖ 第三方组件安全 ❖ UAT 测试用例 ▪ 工件比较 ▪ 安全控制需求 扫描 ❖ 发布记录 ▪ 变更证据 (审计) 手工 自动化 全球敏捷运维峰会 广州站

21.DevSecOps工具 -将CheckMarx集成到CICD流水线 • 首先, 在Jenkins服务器上安装Checkmarx Jenkins插件 • 有两种方法可以在Jenkins上配置Checkmarx扫描 ➢ Freestyle job: • 在”Build”部分选择“Execute Checkmarx Scan项 • 配置Checkmarx 服务器URL, 权限和源代码路径 ➢ Pipeline job • Checkmarx 扫描结果报表可以在Jenkins界面上显示出来 全球敏捷运维峰会 广州站

22.DevSecOps工具 - CheckMarx 全球敏捷运维峰会 广州站

23.DevSecOps工具 – Sonatype Nexus IQ Server • Nexus IQ Server 可以很容易地被集成到CICD流水线中去自动化安全漏 洞扫描和报表流程 • Nexus IQ Server 产生的报表, 用于展示开源代码和插件中已经存在的 信息安全和执照问题 • Nexus IQ Server 有一个可以把所有系统里的相关安全漏洞都能展示的 全方位的中央报表 • Nexus IQ Server 将安全漏洞分类为三个等级 – 严重, 中等, 没有威胁 全球敏捷运维峰会 广州站

24.DevSecOps工具 – Sonatype Nexus IQ Server 全球敏捷运维峰会 广州站

25. DevSecOps培训 全球敏捷运维峰会 广州站

26.DevSecOps培训 –工具中的教材 全球敏捷运维峰会 广州站

27.DevSecOps培训 – 内部在线自学课程 全球敏捷运维峰会 广州站

28.DevSecOps 培训 – Secure Code Warrior [1] [1] https://securecodewarrior.com/training.html 全球敏捷运维峰会 广州站

29.DevSecOps培训– Secure Code Warrior [2] [2] https://securecodewarrior.com/training.html 全球敏捷运维峰会 广州站