《2020BCS-北京网络安全大会:企业级 DevSecOps 开源治理方案演进之路.pdf》由会员分享,可在线阅读,更多相关《2020BCS-北京网络安全大会:企业级 DevSecOps 开源治理方案演进之路.pdf(26页珍藏版)》请在三个皮匠报告上搜索。
1、快速发布 谁与争锋 企业级 DevSecOps 开源治理方案演进之路 THE SPEAKER 云计算平台生命周期管理容器化持续交付-DevOps 社区实践 Arch Summit, DevOps Summit DevOpsDays, Qcon大会嘉宾 JFrog 中国解决方案架构师 刘永强 DevSecOps 闭环 CreatePlan PreprodVerify ConfigureDetect RespondPredict Continuous Integration Continuous Monitoring Monitoring And Analytics Monitoring And
2、Analytics Continuous Improvement Continuous Deployment Continuous Configuration Continuous Learning DevOps Continuous Delivery Sec 开源 != 安全 n开源组件几乎没有安全测试 n提供方没有安全意识 n安全问题需要投入更多的研发成本 n组件使用者不关心第三方组件代码 n一个漏洞,影响范围广 n开源社区分享精神,维护者轻易把项 目管理权交给其它人员 n黑客的目标一般是开源组件 n78 的漏洞存在于间接依赖关系中 n2000年2020年社区发展 n商业软件依赖开源(被动
3、依赖) nLinux: redhat, Suse nOpenstack nKubenates nHadoop 商业 != 安全 nSelf nNode_modules nLinux nNode.js nLandscape nKubernetes 我们的代码 0.1% 在整个软件中 51.9% 25.7% 3.8% 18.5% 开源不等于安全 Npm:event-stream事件 event-stream包是一个 Node.js流数据的JavaScript软 件包。起因是 event-stream 项目的作者由于时间和精力有 限,将其维护工作交给另一位 开发者 Right9ctrl,该开发者 获得了event-stream的控制权, 将恶意代码注入。注入的恶意 代码将会窃取比特币用户钱包 内的私钥并发送至一个域名。 n周下载量在200万+次 n持续时间为2.5个月 n大约2000万+次的下载