3-周一帆-进一步左移——架构安全与DevSecOps.pdf

1、进一步左移架构安全与DevSecOps2023 深圳站周一帆在新加坡及中国拥有多年的金融科技与信息安全行业工作经验。曾就职于汇丰环球银行与资本市场科技部，负责交易系统监控及DevOps开发运维一体化工具的管理。曾参与国内外多项重大信息安全与金融科技项目的实施与部署工作。熟悉DevOps，DevSecOps方法和工具。目前主要从事应用系统架构安全顾问，风险评估，威胁建模等工作。同时开展在汇丰集团内部的DevSecOps实施工作，协助各业务团队进行DevSecOps技术转型。国内第一本DevSecOps书籍DevSecOps实战作者之一。汇丰科技中国信息安全部高级信息安全分析师2023 深圳站目录

2、CONTENTSDevSecOps的简介01 金融科技领域中的合规风险02 OWASP Top10与架构安全左移03 基于合规的安全风险评估体系的建立04 未来趋势05 2023 深圳站01DevSecOpsDevSecOps的简介的简介2023 深圳站为什么需要DevSecOps？lDevOps 让开发团队的产品交付更快,协作更好。传统信息安全交付模式和现代的快速持续交付理念形成冲突，从而使信息安全成为快速交付的瓶颈。l如果没有考虑到信息安全的DevOps，反而让产品更容易存在信息安全漏洞的风险。l速度和安全本身就是天生一对相辅相成的概念，DevSecOps的出现与实践，正是去帮助处于不同行

3、业的实践者们去寻求速度和安全之间的平衡点。2023 深圳站什么是DevSecOps？l2012年，Gartner 提出了“DevSecOps”的理念(初始为“DevOpsSec”).DevSecOps的最终目的是将信息安全意识左移到开发团队,并因此让所有人都为信息安全负责l目标是将安全嵌入到DevOps的各个流程中去（需求，架构，开发，测试等），从而实现安全的左移，让所有人为安全负责，将安全性从被动转变为主动，最终让团队可以更快，更安全地开发出质量更好的产品2023 深圳站DevSecOps的最佳实践运营模型实现模型成熟度模型三个角色的协作开发团队信息安全团队DevSecOps实施负责人三个阶

4、段三步走引入DevSecOps工具DevOps与信息安全知识、能力的培训意识文化和流程的建立多维度的评估工具的集成与使用情况团队组织架构情况DevSecOps实施负责人知识储备与问题解决能力三个角色的协作能力等DevSecOps的最终目标是引入一套框架，解决持续快速交付和信息安全之间的矛盾一个框架，三个模型，三个角色，三个阶段的结合，可视为实施DevSecOps的最佳实践之一。2023 深圳站DevSecOps工具安全工具链2023 深圳站02金融科技领域中的合规风险金融科技领域中的合规风险2023 深圳站近十年国内外发布的部分与信息安全相关的监管法律、法规l新加坡于2012年通过的个人数据保

5、护法l2016年11月7日，第十二届全国人民代表大会常务委员会第二十四次会议通过中华人民共和国网络安全法l2018年5月25日，欧洲联盟出台通用数据保护条例(GDPR)l2019年10月26日，第十三届全国人民代表大会常务委员会第十四次会议通过 中华人民共和国密码法l2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议通过中华人民共和国数据安全法l2021年8月20日，十三届全国人大常委会第三十次会议表决通过中华人民共和国个人信息保护法l2022年7月，国家网信办出台数据出境安全评估办法2023 深圳站近十年国内外发布的部分与信息安全相关的监管法律、法规监管体系越来越健全 当

6、前全球现行法律法规及行业标准中，与网络和信息安全有关的已有上百部。涉及网络运营安全、信息系统安全、数据安全、网络安全产品、保密及密码管理等多领域。涵盖从通信、金融等传统行业到各新兴互联网行业。监管形式多元化 有法律、有司法解释及相关文件、行政法规、法规性文件、部门规章、行业标准文件等。不同领域的监管机构错综复杂。存在不同国家与地区间监管差异 不同国家及区域，各类法规又有不同。知识产权壁垒。重要信息、数据在不同国家及地区中的流动往往受到强监管。因此，对于一家企业来说因此，对于一家企业来说，其产品其产品或业务的合规性直接影响着它面向或业务的合规性直接影响着它面向未来市场的生命力与可持续发展性未来市