DevSecOps - 周纪海.pdf

1、DevSecOpsDevSecOps 在大型在大型银银行的落地行的落地实实践践周周纪纪海海汇汇丰科技丰科技证证券服券服务务技技术术部门部门DevSecOpsDevSecOps负责负责人人自我介自我介绍绍英国伦敦帝国理工学院博士2011年起在巴克莱银行，汇丰银行等大型国际银行从事DevOps转型工作2018年3月,被汇丰银行伦敦本部派到广州汇丰科技中国,负责汇丰科技中国投资银行技术部门1500多人规模的DevOps和DevSecOps转型.2019年底加入腾讯TEG，并于2020年加入腾讯云CODING2021年回到汇丰科技中国证券服务科技部门负责DevSecOps转型从2018年到2022年，

2、在国外10多场和国内20多场技术峰会，论坛和社区分享过DevOps和DevSecOps相关经验国内首本DevSecOps相关著作DevSecOps实战第一作者国外金融科技著作Fintech Innovation:ABCDI and Beyond作者之一1.DevSecOps简介2.DevSecOps现状3.DevSecOps工具4.DevSecOps体系建设5.DevSecOps在大型银行的落地实践6.DevSecOps未来展望7.Q&A目目录录DevSecOps简介PUBLIC什么是什么是DevSecOpsDevSecOps 2012年，Gartner 提出了“DevSecOps”的理念(初

3、始为“DevOpsSec”).DevSecOps的最终目的是将信息安全意识左移左移到开发团队,并因此让所有人都为信息安全负责PUBLIC为为什么需要什么需要DevSecOpsDevSecOpsDevOps 的快速交付与传统安全模式形成冲突，让安全性成为束缚快速交付的瓶颈DevSecOps 的好处包含：快速交付控制风险节省成本PUBLIC为为什么要前置什么要前置/左移安全左移安全应用生命周期各阶段中，修复安全漏洞的成本随着开发生命周期推移而逐渐上升应用生命周期各阶段中，修复安全漏洞的成本随着开发生命周期推移而逐渐上升DevSecOps现状PUBLICDevSecOpsDevSecOps社区社区调

4、调研研 11连续三年仍有一半左右的开发者承认他们没有时间去处理安全问题。再次验证了整体来说，安全仍然只是口头层面的重视1 https:/ Synopsys DevSecOpsDevSecOps报报告告 222 https:/ 工具通过扫描开发代码和第三方插件，模拟攻击行为，从而帮助开发团队发现开发过程中潜在的信息安全漏洞从信息安全角度来看的话，可以分为以下几类：静态应用安全工具(SAST)动态应用安全工具(DAST)交互式应用安全工具(IAST)软件成分分析工具(SCA)实时应用安全保护（RASP）PUBLIC优势：优势：白盒测试，代码具有高度可视性，安全漏洞精准定位，检测问题类型更丰富不需要

5、用户界面，漏洞发现更及时容易被程序员接受劣势：劣势：区分开发语言和平台，误报多，人工成本高扫码时间随着代码量的提高显著变长不能测试整个问题，集成系统的漏洞发现不了静静态应态应用安全用安全测试测试工具工具 -SAST-SASTPUBLIC优势：优势：攻击者视角，可发现大多数高风险问题黑盒测试，无需源代码，测试对象范围较广支持当前的各类主流编程语言开发的应用劣势：劣势：对开发，测试人员有一定的专业要求大部分工具不能被自动化无法定位漏洞的具体位置较强入侵性，安全测试的脏数据会污染业务测试数据动态应动态应用安全用安全测试测试工具工具 -DAST-DASTPUBLIC优势：优势：漏洞检出率和准确性高，误

6、报漏极低，漏洞信息详细度高测试过程无感知，漏洞发现快劣势：劣势：每次更新agent需要重启webserver,部署成本较高无法测试业务逻辑漏洞交互式交互式应应用安全用安全测试测试工具工具 -IAST-IASTPUBLIC软软件成分分析工具件成分分析工具 -SCA-SCA第三方组件成分分析（Software Composition Analysis）技术，主要就是针对开源软件以及第三方商业软件涉及的各种源码，源码库，模块和框架，识别已知的安全漏洞或者潜在的许可授权问题，争取在应用系统上线前发现并且解决这些风险。SCA首先对目标源代码或二进制文件进行解压，并从文件中提取特征，再对特征进行识别和分析