張曉陽-DevSecOps安全提效與質量管控.pdf

《張曉陽-DevSecOps安全提效與質量管控.pdf》由會員分享，可在線閱讀，更多相關《張曉陽-DevSecOps安全提效與質量管控.pdf（24頁珍藏版）》請在三個皮匠報告上搜索。

1、DevSecOps安全提效與質量管控構建高效安全的開發運維體系匯報人:張曉陽ZHIWEN.XFYUN.CN安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加個人介紹個人特點安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加目錄沿開發工作流“逆流而上01平臺建設閉環管理04以時間和空間為卡點02大模型在安全治理的探索05底線思維提效03CONTENT安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加01沿開發工作流“逆流而上安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加沿開發工作流“逆流而上”開發工作流-產品，流程，技術1.產品按著版本計劃開發2.產品

2、多樣但遵循相似的流程開發3.產品不同階段有不同領域專家支撐4.產品開發過程需求需要明確5.產品希望通過平臺間協作管理1.業務每個階段閉環后向后一個階段交付2.每個階段都會保留標準物料產出3.提測，發布節點對版本質量進行審查4.對過程數據集中梳理形成質量評分1.業務開發技術不斷進行升級更新2.產品形態跟隨技術更新越來越多3.技術升級更新帶來新的安全挑戰安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加沿開發工作流“逆流而上”逆流而上的最佳實踐-鑿山開路與業務達成共識1.安全活動成本決定業務的響應時間2.安全活動易用性決定項目覆蓋率3.安全支撐度決定業務的配合度4.漏洞正報率決定漏洞修復

3、率安全管理的價值1.可量化數值大于數量增長數值2.管理制度要求需要平臺做抓手3.做業務當前最關注的安全問題4.一個標桿項目大于一個專家技術發展1.關注科技技術迭代2.關注業務技術迭代3.關注安全技術迭代安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加02以時間和空間為卡點安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加快速迭代安全考量迭代速度與安全平衡1.業務快速迭代追求效率2.技術的迭代帶來安全的需求更高3.在DevSecOps中，要找到兩者平衡點安全投入和基礎設施1.當前安全工具和安全投入有哪些2.公司基礎設施的支撐程度3.業務項目模式復雜如何設定標準關鍵節點點進行

4、指引和審核1.通過平臺進行安全活動指引和引導2.項目的關鍵節點通過平臺進行審查安全測試融入迭代1.將安全測試低成本融入快速迭代流程2.自動化程度會帶來更好的融入效果安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加代碼倉庫依賴源公用組件需求開發規劃文檔需求文檔設計文檔打包集成部署機器IP域名測試制品倉庫鏡像倉庫發布上線信息IP，域名發布后安全底線編碼規范SCASASTAPP掃描DASTIAST隱私合規檢測人工安全測試安全發布審核外部滲透SASTSCA安全需求分析鏡像掃描自動化巡檢DAST掃描時間、空間的關鍵卡點提測發布立項時間空間安世加安世加安世加安世加安世加安世加安世加安世加安世加

5、安世加Devsecops關鍵卡點安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加訊飛集團關鍵卡點立項1.安全BP跟進項目計劃-安全平臺協同2.根據項目情況制定項目安全活動-底線預設3.立項評審與項目經理達成一致確保安全質量提測1.在提測時完成安全提測-需求平臺2.安全平臺同步信息到需求平臺3.安全提測將安全在流水線中完成預設發布1.發布評審完成安全問題閉環2.質量門禁中增加安全門禁進行發布提醒（暫未強制阻塞）3.安全門禁進行發布安全狀態留痕用作溯源安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加03底線思維提效安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加

6、明確安全底線實施策略安全底線定義與范疇安全底線是保障安全的基準，涵蓋策略、流程等，明確其數量，具體要求是實施策略的基礎。風險評估確定安全底線通過全面風險評估，識別潛在威脅，據此精準確定安全底線的具體內容。安全底線的選擇和下發通過平臺實現不同類型和不同等級項目差異化制定，確保安全底線的有效性與可行性。安全底線實施的步驟規劃詳細規劃安全底線實施工具建設，保障策略能順利落地執行。安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加三、底線思維提效集團底線（項目類型，安全活動，安全漏洞級別）BG1（安全活動調整，安全漏洞級別調整）BG2BU1.產研項目交付項目信息化項目XX項目.XXXX項目子

7、系統類型安全活動計劃業務側安全BP集團安全安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加04平臺建設閉環管理安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加構建統一平臺閉環機制統一平臺基礎搭建整合各類安全工具，構建統一平臺，通過平臺進行安全能力賦能，為DevSecOps流程優化提供基礎。閉環機制流程設計規劃從開發到發布的全流程閉環，各環節緊密銜接，確保安全問題能及時反饋與處理，提升效率。平臺數據交互協同實現平臺內多系統數據交互、開發、安全、運維團隊協同作業，基于數據共享精準管控進度與質量。閉環監控與持續改進建立實時數據分析看板，對DevSecOps下安全管理流程閉環監

8、控，依據數據反饋項目安全管理情況，保障業務安全質量。安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加安全平臺測試流程安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加平臺協作-安全發布及安全門禁安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加05大模型在安全治理的探索安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加應用安全當前的痛點業務賦能任務重1.業務人員流動大，需要重復賦能2.應用安全要求隨安全體系的建設需要實時更新個性化數據需求1.業務項目管理需要數據查看差距2.業務需要數據保障項目質量執行過程溝通復雜1.業務對項目實際執行過程中還是會出現較

9、多使用問題2.漏洞修復難安全能力提升1.產研側安全漏洞檢測能力需要提升安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加AI驅動安全治理新趨勢培訓材料編寫1.幫助梳理培訓邏輯。2.提供培訓案例3.培訓PPT輔助-本篇由訊飛智文完成初步數據統計提效1.項目數據統計查詢2.安全事件統計查詢安全活動指引1.嘗試知識圖譜技術通過歷史同級項目作模板進行指引2.依托漏洞庫數據，建設漏洞修復助手安全能力提升1.代碼合入時通過大模型完成安全智能評審安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加回顧策略展望未來DevSecOps策略回顧1.過往DevSecOps策略聚焦流程整合，將安全的

10、能力融入業務開發流程易用性更高。2.探索產研過程中和發布后溯源的有效路徑，提高業務的積極性挑戰剖析1.大模型帶來新的技術挑戰，帶來的新的安全問題，如MCP技術等2.業務項目增加帶來的人力不足問題未來趨勢展望1.大模型技術在應用安全技術的應用會降低誤報影響，提升業務的配合度。2.大模型技術應用進行流程指引，會提升在Devsecops的技術下的安全質量管理的效果安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加THANKS感謝觀看安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加訊飛安全響應中心(iflytekSRC)是保障訊飛相關業務及產品安全的平臺歡迎每一位用戶向我們及時反饋相關安全漏洞及威脅情報訊飛安全期待與您共同守護億萬用戶的信息安全，一同建設更加安全的美好世界！安世加安世加安世加安世加安世加安世加安世加安世加安世加安世加