- 快召唤伙伴们来围观吧
- 微博 QQ QQ空间 贴吧
- 文档嵌入链接
- 复制
- 微信扫一扫分享
- 已成功复制到剪贴板
DevSecOps在大型企业的落地实践
在国内外大型银行均从事过DevOps工作的周纪海老师,带来了一种全新的安全理念与模式——DevSecOps,目标是实现研发、运维和安全一体化。以往信息安全往往和DevOps形成冲突,成为快速交付中的瓶颈。周纪海老师以亲身落地DevSecOps的经验为例,向大家展示了DevSecOps的实现模型、工具、培训,以及成熟度模型。
展开查看详情
1 .DevSecOps在大型企业的落地实践 演讲人:周纪海 全球敏捷运维峰会 广州站
2 .内容 ➢ 自我介绍 ➢ DevSecOps简介 ➢ DevSecOps实现模型 ➢ DevSecOps工具 ➢ DevSecOps培训 ➢DevSecOps成熟度模型 全球敏捷运维峰会 广州站
3 .自我介绍 ➢ 英国伦敦帝国理工学院博士毕业 ➢ 多家国际大型银行工作经验 • 苏格兰皇家银行 • 瑞士联合银行 • 英国巴克莱银行 • 英国汇丰银行 ➢ 2012年起开始从事DevOps工作。2018年从汇丰银行伦敦总部转到广 州汇丰软件负责汇丰投资银行部门1500人规模开发团队的DevOps转型 全球敏捷运维峰会 广州站
4 . DevSecOps简介 全球敏捷运维峰会 广州站
5 .什么是DevSecOps ➢ 2012年, Gartner创建了“DevSecOps”概念,其原始术语为 “DevOpsSec” ➢ 2017 RSA峰会后,DevSecOps开始成为世界热门话题 ➢ DevSecOps是一种新方法,有助于在开发过程早期而不是在产品发布 后识别安全问题,这意味着DevSecOps将安全性从被动转变为主动 ➢ DevSecOps的目标是让每个人都对信息安全负责,而不仅仅是信息安 全部门 全球敏捷运维峰会 广州站
6 .什么是DevSecOps DevSecOps旨在将安全性嵌入开发过程的每个部分。这意味着将应用安 全思维模式左移到开发团队。 全球敏捷运维峰会 广州站
7 .为什么需要DevSecOps ➢ 应用程序层是2016年数据泄露的主要原因 ➢ DevOps为开发团队带来更快,更好的协作, 可以在几周到几天内交付和部署软件。然而 快速创新与安全性的冲突,让安全性成为 DevOps的瓶颈 ➢ 许多公司里,直到整个软件开发生命周期 结束才解决网络安全问题 全球敏捷运维峰会 广州站
8 .实现DevSecOps的挑战 ➢ 美国威胁检测公司 Threat Stack 针对北美大中小企业200多名安全,开发和运 维专业人员的一项新调查和报告表明,DevSecOps 仍然停留在理论阶段 ➢ 造成这种情况的主要原因是缺少高层的支持,业务领导者甚对此并不鼓励。 52% 的公司承认会削减安全措施,以便在截止日期前完成目标。报告作者表示: 速度成为开发业务中的首要目标,往往需要牺牲安全。 全球敏捷运维峰会 广州站
9 .实现DevSecOps的挑战 ➢ 62% 的受访者表示,DevOps 不利于在产品中实现安全技术部署;57% 的受 访者认为 DevOps 阻碍了安全最佳实践。主要原因都是安全考量与高速开发互 相掣肘。 ➢ 安全与DevOps分割的三大关键因素 • 安全仍然是孤立的 ➢ 27%的运维团队配备了安全专家 ➢ 只有18%的开发团队配备了安全专家 • 开发与安全分割 – 44%开发人员没有接受过安全编码的培训 • 安全与运维分割 – 42%的运维人员没有接受过基本安全实践方面的培训 全球敏捷运维峰会 广州站
10 .实现DevSecOps的挑战 全球敏捷运维峰会 广州站
11 .DevSecOps好处 更快 – DevSecOps通过自动化和反馈向需要在发布之前积极参与ISR/IT Sec 的团队转移安全需求,从而缩短产品上市时间 控制风险 – 为漏洞识别和修复提供基准安全标准,使项目团队能够在可接受 的风险标准内自我认证部署应用程序,从而降低业务和内部开发应用程序的整 体风险 节省成本 – DecSecOps减少了对网络安全部门的整体依赖,以动手执行发布 后代码和基础架构检查,从而整体降低补救成本 全球敏捷运维峰会 广州站
12 .DevSecOps最佳实践 全球敏捷运维峰会 广州站
13 .OWASP Top 10大安全漏洞 OWASP是一个开源的、非盈利的全球性安全 组织,致力于应用软件的安全研究。他的 使命是使应用软件更加安全,使企业和组 织能够对应用安全风险做出更清晰的决策。 目前OWASP全球拥有250个分部近7万名会员, 共同推动了安全标准、安全测试工具、安 全指导手册等应用安全技术的发展 OWASP在业界被视为web应用安全领域的权 威参考。OWASP TOP 10为IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的主要标准 全球敏捷运维峰会 广州站
14 .DevSecOps实现模型 全球敏捷运维峰会 广州站
15 .DevSecOps实现模型 • 第一阶段 – 信息安全工具 ➢ 将DevSecOps工具嵌入到CICD流水线中实现 自动化安全漏洞扫描 ➢ 生成并公开信息安全漏洞报表 • 第二阶段 – 信心安全培训 ➢ 信息安全工具学习 ➢ 信息安全知识培训 • 第三阶段 – 信息安全意识和”专家” ➢ 建立信心安全意识和文化 ➢ 培养开发团队中的”信息安全专家” 全球敏捷运维峰会 广州站
16 .DevSecOps运营模型 全球敏捷运维峰会 广州站
17 . DevSecOps工具 全球敏捷运维峰会 广州站
18 .DevSecOps工具 ➢ DevSecOps工具通过扫描开发代码和第三方插件,模拟攻击行为,从而帮助开 发团队发现开发过程中潜在的信息安全漏洞 ➢ 从信息安全角度来看的话,DevSecOps工具可以分为以下几类 • 静态应用安全工具 (SAST) • 动态应用安全工具 (DAST) • 交互式应用安全工具 (IAST) • 开源软件安全工具(FOSS) • 基础设施安全工具 全球敏捷运维峰会 广州站
19 .DevSecOps工具 ➢ 静态应用安全工具 (SAST) • Checkmarx • Fortify • IBM AppScan ➢ 动态应用安全工具(DAST/IAST) • Contrast • OWASP ZAP ➢ 开源软件安全工具(FOSS) • Sonatype IQ Server • Dependencies Check ➢ 基础设施安全工具 • Nessus 全球敏捷运维峰会 广州站
20 .SDLC 中的DevSecOps工具 设计 编码 测试 部署 工具 ❖ 风险评估 ❖ 同行审查 ❖ 动态/交互式安全 ❖ 变更管理 ▪ 范围评估 ❖ 工件签名 安全测 ▪ 时间窗户 输出 ▪ 安全设计评估 ❖ 静态代码检查 (DAST/IAST) ▪ 发布审核流程 ▪ 威胁建模 ❖ 第三方组件安全 ❖ UAT 测试用例 ▪ 工件比较 ▪ 安全控制需求 扫描 ❖ 发布记录 ▪ 变更证据 (审计) 手工 自动化 全球敏捷运维峰会 广州站
21 .DevSecOps工具 -将CheckMarx集成到CICD流水线 • 首先, 在Jenkins服务器上安装Checkmarx Jenkins插件 • 有两种方法可以在Jenkins上配置Checkmarx扫描 ➢ Freestyle job: • 在”Build”部分选择“Execute Checkmarx Scan项 • 配置Checkmarx 服务器URL, 权限和源代码路径 ➢ Pipeline job • Checkmarx 扫描结果报表可以在Jenkins界面上显示出来 全球敏捷运维峰会 广州站
22 .DevSecOps工具 - CheckMarx 全球敏捷运维峰会 广州站
23 .DevSecOps工具 – Sonatype Nexus IQ Server • Nexus IQ Server 可以很容易地被集成到CICD流水线中去自动化安全漏 洞扫描和报表流程 • Nexus IQ Server 产生的报表, 用于展示开源代码和插件中已经存在的 信息安全和执照问题 • Nexus IQ Server 有一个可以把所有系统里的相关安全漏洞都能展示的 全方位的中央报表 • Nexus IQ Server 将安全漏洞分类为三个等级 – 严重, 中等, 没有威胁 全球敏捷运维峰会 广州站
24 .DevSecOps工具 – Sonatype Nexus IQ Server 全球敏捷运维峰会 广州站
25 . DevSecOps培训 全球敏捷运维峰会 广州站
26 .DevSecOps培训 –工具中的教材 全球敏捷运维峰会 广州站
27 .DevSecOps培训 – 内部在线自学课程 全球敏捷运维峰会 广州站
28 .DevSecOps 培训 – Secure Code Warrior [1] [1] https://securecodewarrior.com/training.html 全球敏捷运维峰会 广州站
29 .DevSecOps培训– Secure Code Warrior [2] [2] https://securecodewarrior.com/training.html 全球敏捷运维峰会 广州站