蔡兵克-攻防相长，工行 DevSecOps 探索与实践

攻防相长，工行DevSecOps探索与实践 蔡兵克 中国工商银行软件开发中心高级经理 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 蔡兵克 中国工商银行软件开发中心高级经理 从事研发效能提升系统建设多，现致力于金融科技架构治理、研发过程安全管理改进、智能运维场景化应用研究及推广。 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 行业软件安全体系演化 目录 工行软件安全能力建设 工行DevSecOps探索与实践 工行DevSecOps展望 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 前言从国家安全战略看，国家重视网络安全建设 前言从金融行业安全趋势看，监管重点要求已趋体系化 《⽹络安全法》《密码法》 法律法规 《数据安全法》《个⼈信息保护法》 《⽹络安全等级保护条例》《关键基础设施保护条例》 《⾦融科技科技规划 （2022~2025）》 规划指导 《银⾏业数字化转型指导意见》 夯实⾦融安全科技底座 数据价值充分释放保障⽀撑创新技术驱动发展 筑牢安全基础设施 安全管理体系建设纵深防御体系建设开放业务平台安全智能化安全运营平台供应链安全管理 基础安全服务 安全合规威胁防御 数据分类分级 数据安全管理体系 数据访问控制 数据全⽣命周期安全管理个⼈隐私保护 外部数据活动安全管理 ⼤数据安全区块链安全物联⽹安全AISecOpsDevSecOps隐私计算 绿⾊⾼可⽤国密改造国产化替换云原⽣安全 基础设施安全供给 数据安全隐私保护新技术安全研究创新 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 前言从基础防护看，重要数据资产防护不到位 数据库权限过⼤特权账号管理不善 弱⼝令、账户越权，敏感数据缺乏有效管控 特权⽤户越权，数据第三⽅运维风险 数据库漏洞、数据库权限⽆有效控制 缺少安全访问控制缺少访问权限管控 X家DB管理员掌握root权限删除9TB数据 X招聘⽹站5.9亿简历泄露⽆密码可登录 X盟运维⼈员恶意删库导致SaaS业务全部宕机 X数据库公司泄露数⼗亿条⽹络数据记录 2021.3 X科前程序员删库离职跑路，损失1600W 国外研究团队发现超2亿国内个⼈信息在境外兜售 X市侵犯公⺠个⼈信息案，30 ⼈售卖6亿条个⼈信息获利800W X银⾏违规对外提供其流⽔信息被监管机构罚款450W 知名科技公司信贷平台员⼯⾮法出售个⼈信息10余万条获利23W 2021.2 因信息管理不到位X⾏市分 ⾏泄露3W余条客户信息， 处罚20W X⾏数据违规明⽂存留、数据管理粗放导致信息在互联⽹泄露，处罚420W X居旗下⽹站造攻击导致部分⽤户账号和⾮明⽂密码泄露 X云⽤户数据被泄露，电销员⼯违规泄露⽤户注册信息 以数据为⽬标的安全威胁愈演愈烈...... GOPS全球运维大会暨XOps技术创新峰会2024·北京站 01行业软件安全体系演化 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 DevSecOps发展里程碑 •Gartner⾸次提出DevOpsSec概念 2015 •ShannonLietz在DevSecOps官 ⽹阐述其基本 概念 •Gartner发布议题报告，对DevSecOps模型做了更深层次的分析和落地实践指导 •RSAC⼤会开辟DevSecOps专题 2018 •RSAC⼤会提出⻩⾦管道概念 •Gartner发布了DevSecOps模型安全⼯具链 •全球范围⼤规 模落地实践 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 DevOps研发模式下的软件安全转变 瀑布模式 DevOps 研发 质量保障 预发布生产 研发 质量保障 预生产生产 协作持续系统化 敏捷自动 研发 质量保障 预发布生产 1 2 3 4 敏捷迭代、测试驱动研发 SEC安全化 持续集成特性，需要安全能力与持续集成能力保持同步敏捷特性，需要安全活动对于开发过程的影响降到最低协作及系统化特性，需要安全流程完全融入开发流程容器、云原生、微服务等新技术，提出新安全需求 自动化特性，需要安全能力同样具备高自动化 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 安全及风险管理（DevSecOps）标准框架图 中国信通院《研发运营一体化（DevOps）能力成熟度模型第6部分：安全及风险管理》一种以应用安全为核心的端到端的全新安全理念与实践模式： •控制通用风险 •控制开发过程风险 •控制交付过程风险 •控制运营过程风险 原则：人人为安全负责·安全左移·全流程的安全内建·安全闭环强调安全是每个人的责任，指将安全内嵌到应用的全生命周期，在安全风险可控的前提下，帮助企业提升IT效能，更好地实现研发运营一体化，框架划分依据DevOps全生命周期分为需求、设计、研发、构建、测试、部署发布、运营反馈、应急响应、安全运营、安全监控。 02工行软件安全能力建设 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 工行研发效能与安全管控探索历程 •引⼊ISO9000质量管理体系 •引⼊CMMI软件成熟度模型 •探索研发新模式 •开展持续集成 •尝试敏捷开发 •解耦深⼊推进 •开启DevOps之旅 •评估 DevOps持续交付⼯银e⽣活智能投顾 •DevSecOps⻩⾦流⽔线建设 •DevSecOps 进⼊快车道， ⼤规模落地 实践 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 工行DevSecOps能力建设目标-一个提升、两个降低 ⽬标：构建覆盖应⽤开发运营⼀体化的安全管理及技术体系 通过向应⽤开发及测试团队提供⾃动化安全需求分析、安全设计、安全测试及模块化组件，提升软件安全开发⼯作的⾃动化 ⽔平，提升⼈员安全开发能⼒，减少对专项安全⼈员依赖 通过过程控制及⾃动化安全技术，达到应⽤漏洞提前规避及事先发现，最终降低发布前应⽤安全漏洞数，实现安全左移 通过把合规性要求事先纳⼊应⽤系统开发需求，提升应⽤持续性合规符合能⼒，降低合规风险 提升-应⽤安全开发⾃动化⽔平及⼈员能⼒ 降低-应⽤风险系数降低-监管合规风险 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 工行DevSecOps建设路径 安全能⼒原⽣化 将应⽤安全技术及能⼒固化到企业共⽤的开发框架、制品库及微服务中，将应 ⽤安全从⼀种后期构建能 ⼒变成原⽣能⼒ 安全能⼒⾃动化、服务化 通过构建⾃动化⼯具链，在DevSecOps关键环节引⼊⾃动化技术，在提升安全⼯作效率的同时，降低对⼈员安全能⼒依赖 安全 管理可视化 建⽴⾯向软件⽣命周期的安全能⼒，实现安全左移及过程管理，将安全风险及软件缺陷消灭在发布上线前。同时通过量化数字指标，指导软件安全体系的演化及优化。 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 03工行DevSecOps探索与实践 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 工行DevSecOps能力体系 建设覆盖需求分析、设计、开发、测试、发布及运营环节的安全能力，实现安全左移及过程控制 体系层级 安全开发及管理流程 工行SDL安全体系 安全技术规范及合规要求 建设目标 顶层架构 安全管理及标准体系 应用安全管理体系应用安全流程及策略 安全人才培养体系安全分级及评估体系组织架构与岗位角色 应用安全需求规范安全安全设计规范 应用安全开发规范应用安全测试规范应用安全合规性技术规范 •有管理、有流程 •有规范、有考核 安全管理及 技术平台 安全需求分析安全需求审核安全开发自动安全测试发布安全审核应用安全运维 平台支持 •管理要求平台化 •技术规范策略化 部门角色权限 策略指标 •全流程覆盖 •全应用覆盖 平台支持 安全知识库 安全基线库安全开发知识库 安全测试知识库 软件制品库安全培训库库 •专家能力软件化 •专家能力资产化 安全工具抽象 安全工具自动编排安全工具能力抽象安全工具能力组合检测结果自动给关联分析 工具整合 •降低使用门槛 安全工具链应用漏扫工具源码扫描工具交互式扫描工具 隐私检测工具 制品库管理 应用加固工具 安全运维工具 •提升人工效率 •闭环安全能力 工行软件DEVOPS体系（代码仓库，持续集成，容器,IDE开发工具） GOPS全球运维大会暨XOps技术创新峰会2024·北京站 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 工行DevSecOps能力体系：应用安全融合能力 建设将研发边界左移、右移，在供应链管控、需求设计、测试验证、交付部署和常态化运营等关键环节融入安全措施，挖掘应用面临风险与外部未知威胁，构筑适应自身业务发展、敏捷业务、云原生架构的共生积极防御体系，守护应用安全。 工行DevSecOps能力体系：全流程闭环自动化能力 需求分析环节 设计环节开发环节测试环节发布环节运营环节 安全SDK 研发过程安全 应用安全需求应用安全设计安全测试用例 可信组件 安全配置 白盒回归测试 业务安全回归测试 合规认证 基线测试及发布审核 运维安全配置 运维安全响应及溯源 需求分析环节安全需求缺失 设计环节 安全设计缺陷 开发环节 代码缺陷 第三⽅组件缺陷 测试环节 测试⽤例缺失测试⼯具漏报 发布环节 安全设计缺陷 运维安全事件 安全能 ⼒沉淀 运营安全问题闭环追踪 安全问题回溯开发者 安全问题回溯引⼊源头 问题修复跟踪 基于缺陷组件横向排查 基于缺陷代码横⾏排查 基于安全配置横向排查 应⽤横向排查 安全设计沉淀为知识库 安全开发沉淀为安全组件 安全测试沉淀为⼯具规则 安全能⼒沉淀 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 工行DevSecOps能力体系：安全研发全生命周期工具支撑能力 阶段1：DevOps打通及现有安全管理制度 阶段2：⼯具引⼊，加强研发阶段安全 阶段3：强化体系建设，整合告警收敛、实时检测 企业完成基本DevOps建设实现全流程打通，具备基本安全管理和质量管理要求。 引⼊开源治理⼯具、IDE插件等在CICD阶段结合流⽔线完成⾃动化安全扫描和门禁设置 补充安全需求、建模、代码规范能⼒，加强企业体系化安全建设，通过平台将各安全⼯具告警信息整合及收敛，降低误报甄别成本。平台提供检测、分析，定期出具安全报告。 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 工行DevSecOps能力体系：研发环境安全运营能力 顶层安全战略设计 战略层 模拟攻击 策略与验证 红蓝对抗安全演练 防御策略 安全运营规划 漏洞扫描 资产管理 漏洞扫描 漏洞扫描 漏洞扫描 设备管理 运营能⼒度量 运营体系设计 企业安全制度 运营层 漏洞扫描、渗透测试、组件漏洞 漏洞管理 7*24⼩时告警监控、事件研判、SOAR案例、应急响应 威胁/事件管理 漏洞修复 事件处置 知识库 运营⽀撑 ⼯单接收 ⼯单分类 安全运营流程 关联分析 开源卫⼠ SL⾏动 安访 全问 防控 护制 能策 ⼒略 专业领域安全评估治理 流专 量项 监⼯ 控作 覆推 盖进 弱⼝令治理 支撑层 溯源反制 风险识别 研发环境安全运营管理平台 检测防护 关联分析 威胁狩猎系统 （蜜罐） 流量探针 异常⾏为分析 漏洞扫描 终端安全管理平台 ⽹路攻击阻断 事件响应 ⼯单指派 ⼯单处理 资产沉淀 度量评价 流量覆盖 中心七地机房 十万级网络安全设备基础设施 web应⽤防护邮件联防预警 ⼊侵防护系统终端威胁检测 GOPS全球运维大会暨XOps技术创新峰会2024·北京站 日均千万级安全日志 工行DevSecOps能力体系：持续演化 ⼈员能⼒提升 云原⽣安全能⼒提升 安全能⼒固化为安全框架 务 安全深度融⼊DevOps ⼯具对接颗粒度持续细化 ⼯具⾃动化程度持续提升 ⼯具能⼒抽象降低解耦 安全意识培训安全合规培训攻防实战靶场CTF攻防⽐赛 安全开发与运维持续融合