DevSecOps在大型银行的落地实践 - 周纪海

DevSecOps在大型银行的落地实践

1. DevSecOps简介

• 概念：DevSecOps旨在将安全意识提前到开发阶段，使所有人共同负责安全。
• 目的：快速交付、控制风险、节省成本。

2. DevSecOps现状

• 社区调研：仍有大量开发者没有足够时间处理安全问题。
• Synopsys报告：显示DevSecOps实施存在挑战。

3. DevSecOps工具

• 静态应用安全测试工具 (SAST)：精准定位安全漏洞，但需人工成本高。
• 动态应用安全测试工具 (DAST)：测试过程无感知，但更新成本高。
• 交互式应用安全测试工具 (IAST)：高检测率，但对开发人员要求高。
• 软件成分分析工具 (SCA)：识别开源软件漏洞，但需人工分析。
• 实时应用安全保护工具 (RASP)：提供全面保护，但对应用性能有一定影响。

4. DevSecOps体系建设

• 第一阶段：嵌入安全工具，自动化扫描，生成并公开安全漏洞报表。
• 第二阶段：提供信息安全培训，包括在线培训和咨询。
• 第三阶段：建立信息安全意识和“专家”制度。

5. DevSecOps在大型银行的落地实践

• 工具集成：将安全工具集成到CI/CD流水线中，如Checkmarx、Netsparker等。
• 漏洞扫描：使用Sonatype IQ Server和Nessus进行自动化扫描。
• 报表生成：生成基于源代码的安全漏洞报表，分为高级、中级和低级。
• 自动化管理：通过Cyberflow平台手动或自动触发安全测试工具。

6. DevSecOps未来展望

• 进一步安全左移：扩展至需求和架构层面。
• AI助力：利用AI提升威胁建模、漏洞检测和自我修复能力，提高效率和准确性。
• 人才培养：通过AI和安全培训帮助程序员培养安全意识。

7. DevSecOps文化建设

• 安全编程竞赛：增强开发团队的安全意识。
• 社区分享：促进知识交流。
• 安全众测：提升整体安全水平。