3. 大型銀行DevSecOps體系建設和落地實踐 - 匯豐科技周紀海（29頁）.pdf

1、大型銀行大型銀行DevSecOpsDevSecOps體系建設和落地實踐體系建設和落地實踐演講人：周紀海演講時間：2021.07.21目錄C o n t e n t sDevSecOps簡介1DevSecOps現狀2DevSecOps工具3實現DevSecOps的挑戰5DevSecOps在大型銀行的體系建設和落地實踐4DevSecOps實現和運營模型6DevSecOps工具的自動化和使用7開發團隊DevSecOps能力建設8DevSecOps成熟度分析9應用安全的進一步左移10自我介紹英國倫敦帝國理工學院博士2012年起開始在以下各大銀行從事DevOps轉型工作：瑞士聯合銀行英國巴克萊銀行英國匯

2、豐銀行 2018年3月,從匯豐銀行倫敦本部轉到廣州匯豐科技中國,負責匯豐科技中國投行部1500開發人員的DevOps和DevSecOps轉型.2019年底加入騰訊TEG，并于2020年作為首席技術布道師加入騰訊云CODING 2021年回到匯豐科技中國證券部門負責DevSecOps轉型DevSecOps簡介簡介01什么是DevSecOps2012年，Gartner 提出了“DevSecOps”的理念(初始為“DevOpsSec”).DevSecOps的最終目的是將信息安全意識左移左移到開發團隊,并因此讓所有人都為信息安全負責為什么要左移應用生命周期各階段中，修復安全漏洞的成本隨著開發生命周期推

3、移而逐漸上升為什么需要DevSecOpsDevOps 的快速交付與傳統安全模式形成沖突，讓安全性成為束縛快速交付的瓶頸DevSecOps 的好處包含：快速交付控制風險節省成本DevSecOps現狀現狀02DevSecOps社區報告連續三年仍有一半左右的開發者承認他們沒有時間去處理安全問題。再次驗證了整體來說，安全仍然只是口頭層面的重視Synopsys DevSecOps報告DevSecOps工具工具03DevSecOps工具類型從信息安全角度來看的話，可以分為以下幾類：靜態應用安全工具(SAST)動態應用安全工具(DAST)交互式應用安全工具(IAST)開源軟件安全工具(SCA)DevSecO

4、ps工具 靜態應用安全工具CheckmarxFortify 動態應用安全工具NetSpackerOWASP ZAP 交互式應用安全工具Contrast懸鏡靈脈 開源軟件安全工具Sonatype IQ ServerDependencies CheckBlackduckDevSecOps在大型銀行的在大型銀行的體系建設和落地實踐體系建設和落地實踐03企業實現DevSecOps的挑戰匯豐銀行DevSecOps落地體系建設一，DevSecOps運作實現模型開發團隊信息安全團隊DevSecOps負責人二、DevSecOps工具 SAST Checkmarx IAST Contrast FOSS Sona

5、type IQ Server三、DevSecOps培訓 工具培訓 在線培訓課程 在線學習平臺：Secure Code Warrior四、DevSecOps成熟度度量標準DevSecOps實現模型第一階段 信息安全工具 將DevSecOps工具嵌入到CICD流水線中實現自動化安全掃描 生成并公開信息安全漏洞報表 根據團隊情況定制化信息安全規則第二階段 信心安全培訓 信息安全工具中的教學材料 在線培訓-Secure Code Warrior 信息安全咨詢第三階段 信息安全意識和”專家”建立信心安全意識和文化 培養開發團隊中的”信息安全專家”DevSecOps運營模型將DevSecOps工具集成到C

6、ICD流水線首先,相關插件需要在Jenkins服務器上安裝,比如Checkmarx Jenkins插件有兩種方法可以在Jenkins上配置Checkmarx掃描 Freestyle job:在”Build”部分選擇“Execute Checkmarx Scan項配置Checkmarx 服務器URL,權限和源代碼路徑 Pipeline jobCheckmarx 掃描結果報表可以在Jenkins界面上顯示出來靜態應用安全工具 CheckmarxCheckMarx 可以很容易地集成到CICD流水線里自動化安全漏洞掃描和報表流程CheckMarx 可以生成基于源代碼中已發現的安全漏洞的報表，并將安全漏

7、洞分類為三個等級CheckMarx讓程序員可以可以發現哪一行代碼存在安全漏洞,這可以幫助程序員很容易和快速的追蹤安全漏洞的出處CheckMarx自帶基于已發現的安全漏洞的學習資料幫助程序員去修補安全漏洞開源軟件開源工具 Sonatype Neuxs IQ ServerNexus IQ Server 可以很容易地被集成到CICD流水線中去自動化安全漏洞掃描和報表流程Nexus IQ Server 產生的報表,用于展示開源代碼和插件中已經存在的信息安全和執照問題Nexus IQ Server 將安全漏洞分類為三個等級 嚴重,中等,沒有威脅DevSecOps培訓 工具自帶學習資料DevSecOps培

8、訓 內部在線自學課程DevSecOps在線培訓 Secure Code Warrior 11 https:/ Secure Code Warrior 22 https:/ 第一屆信息安全編程大賽于2018年10月在印度區辦公室成功舉辦 第二屆信息安全編程競賽于2019年2月份在中國區辦公室成功舉辦這些活動通過讓程序員參與富有競爭和協作的安全編程競賽,讓程序員感受到編寫安全代碼的樂趣和提高其編寫安全代碼的技能這些活動也給開發團隊提供了一個可以評估自身信息安全成熟度水平的機會開發團隊DevSecOps成熟度評審作為一支成熟的DevSecOps團隊，必須滿足以下條件：團隊所有開發人員必須達到一級水平 團隊中的Security Champion至少達到三級水平評審通過的DevSecOps團隊，會根據成熟度級別簡化相應的安全掃描和審核流程進一步左移目前DevSecOps模型雖然覆蓋了整個軟件開發周期的全過程，但在實踐過程中大部分還是集中在開發和測試階段，也就是代碼安全掃描，第三方安全掃描，web和端口的安全掃描。當開發和測試階段的安全融入逐漸成熟后，安全理念將進一步左移到需求和架構層面。需求安全 需求安全分類 需求安全評審架構安全 快速檢查表 完整風險評估 威脅建模 威脅建模工具及自動化T H A N K S