《2019年DevSecOps在大型企业的落地实践.pdf》由会员分享,可在线阅读,更多相关《2019年DevSecOps在大型企业的落地实践.pdf(32页珍藏版)》请在三个皮匠报告上搜索。
1、全球敏捷运维峰会广州站DevSecOps在大型企业的落地实践在大型企业的落地实践全球敏捷运维峰会广州站内容 自我介绍 DevSecOps简介 DevSecOps实现模型 DevSecOps工具 DevSecOps培训DevSecOps成熟度模型全球敏捷运维峰会广州站DevSecOps简介全球敏捷运维峰会广州站什么是DevSecOps 2012年,Gartner创建了“DevSecOps”概念,其原始术语为“DevOpsSec”2017 RSA峰会后,DevSecOps开始成为世界热门话题 DevSecOps是一种新方法,有助于在开发过程早期而不是在产品发布后识别安全问题,这意味着DevSecO
2、ps将安全性从被动转变为主动 DevSecOps的目标是让每个人都对信息安全负责,而不仅仅是信息安全部门全球敏捷运维峰会广州站什么是DevSecOpsDevSecOps旨在将安全性嵌入开发过程的每个部分。这意味着将应用安全思维模式左移到开发团队。全球敏捷运维峰会广州站为什么需要DevSecOps 应用程序层是2016年数据泄露的主要原因 DevOps为开发团队带来更快,更好的协作,可以在几周到几天内交付和部署软件。然而快速创新与安全性的冲突,让安全性成为DevOps的瓶颈 许多公司里,直到整个软件开发生命周期结束才解决网络安全问题全球敏捷运维峰会广州站实现DevSecOps的挑战 美国威胁检测
3、公司 Threat Stack 针对北美大中小企业200多名安全,开发和运维专业人员的一项新调查和报告表明,DevSecOps 仍然停留在理论阶段 造成这种情况的主要原因是缺少高层的支持,业务领导者甚对此并不鼓励。52%的公司承认会削减安全措施,以便在截止日期前完成目标。报告作者表示:速度成为开发业务中的首要目标,往往需要牺牲安全。全球敏捷运维峰会广州站实现DevSecOps的挑战 62%的受访者表示,DevOps 不利于在产品中实现安全技术部署;57%的受访者认为 DevOps 阻碍了安全最佳实践。主要原因都是安全考量与高速开发互相掣肘。安全与DevOps分割的三大关键因素 安全仍然是孤立的
4、 27%的运维团队配备了安全专家 只有18%的开发团队配备了安全专家 开发与安全分割 44%开发人员没有接受过安全编码的培训 安全与运维分割 42%的运维人员没有接受过基本安全实践方面的培训全球敏捷运维峰会广州站实现DevSecOps的挑战全球敏捷运维峰会广州站DevSecOps好处更快更快 DevSecOps通过自动化和反馈向需要在发布之前积极参与ISR/IT Sec的团队转移安全需求,从而缩短产品上市时间控制风险控制风险 为漏洞识别和修复提供基准安全标准,使项目团队能够在可接受的风险标准内自我认证部署应用程序,从而降低业务和内部开发应用程序的整体风险节省成本节省成本 DecSecOps减少
5、了对网络安全部门的整体依赖,以动手执行发布后代码和基础架构检查,从而整体降低补救成本全球敏捷运维峰会广州站DevSecOps最佳实践全球敏捷运维峰会广州站OWASP Top 10大安全漏洞OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。他的使命是使应用软件更加安全,使企业和组织能够对应用安全风险做出更清晰的决策。目前OWASP全球拥有250个分部近7万名会员,共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展OWASP在业界被视为web应用安全领域的权威参考。OWASP TOP 10为IBM APPSCAN、HP WEBINSPECT等扫描器漏洞参考的
6、主要标准全球敏捷运维峰会广州站DevSecOps实现模型全球敏捷运维峰会广州站DevSecOps实现模型第一阶段第一阶段 信息安全工具信息安全工具将DevSecOps工具嵌入到CICD流水线中实现自动化安全漏洞扫描生成并公开信息安全漏洞报表 第二阶段第二阶段 信心安全培训信心安全培训信息安全工具学习信息安全知识培训 第三阶段第三阶段 信息安全意识和信息安全意识和”专家专家”建立信心安全意识和文化培养开发团队中的”信息安全专家”全球敏捷运维峰会广州站DevSecOps运营模型全球敏捷运维峰会广州站DevSecOps工具全球敏捷运维峰会广州站DevSecOps工具 DevSecOps工具通过扫描开
7、发代码和第三方插件,模拟攻击行为,从而帮助开发团队发现开发过程中潜在的信息安全漏洞 从信息安全角度来看的话,DevSecOps工具可以分为以下几类静态应用安全工具(SAST)动态应用安全工具(DAST)交互式应用安全工具(IAST)开源软件安全工具(FOSS)基础设施安全工具全球敏捷运维峰会广州站DevSecOps工具 静态应用安全工具(SAST)CheckmarxFortify IBM AppScan 动态应用安全工具(DAST/IAST)ContrastOWASP ZAP 开源软件安全工具(FOSS)Sonatype IQ ServerDependencies Check 基础设施安全工具
8、Nessus全球敏捷运维峰会广州站SDLC 中的DevSecOps工具设计设计编码编码测试部署工具工具输出输出风险评估 范围评估 安全设计评估 威胁建模 安全控制需求同行审查工件签名静态代码检查第三方组件安全扫描动态/交互式安全安全测(DAST/IAST)UAT 测试用例变更管理时间窗户发布审核流程工件比较发布记录变更证据(审计)自动化手工全球敏捷运维峰会广州站DevSecOps工具-将CheckMarx集成到CICD流水线首先,在Jenkins服务器上安装Checkmarx Jenkins插件有两种方法可以在Jenkins上配置Checkmarx扫描Freestyle job:在”Build
9、”部分选择“Execute Checkmarx Scan项配置Checkmarx 服务器URL,权限和源代码路径Pipeline jobCheckmarx 扫描结果报表可以在Jenkins界面上显示出来全球敏捷运维峰会广州站DevSecOps工具-CheckMarx全球敏捷运维峰会广州站DevSecOps工具 Sonatype Nexus IQ ServerNexus IQ Server 可以很容易地被集成到CICD流水线中去自动化安全漏洞扫描和报表流程Nexus IQ Server 产生的报表,用于展示开源代码和插件中已经存在的信息安全和执照问题Nexus IQ Server 有一个可以把所
10、有系统里的相关安全漏洞都能展示的全方位的中央报表Nexus IQ Server 将安全漏洞分类为三个等级 严重,中等,没有威胁全球敏捷运维峰会广州站DevSecOps工具 Sonatype Nexus IQ Server全球敏捷运维峰会广州站DevSecOps培训全球敏捷运维峰会广州站DevSecOps培训 工具中的教材全球敏捷运维峰会广州站DevSecOps培训 内部在线自学课程全球敏捷运维峰会广州站DevSecOps 培训 Secure Code Warrior 11 https:/ Secure Code Warrior 22 https:/ 第一届信息安全编程大赛于2018年10月在印
11、度区办公室成功举办 第二届信息安全编程竞赛于2019年2月份在中国区办公室成功举办这些活动通过让程序员参与富有竞争和协作的安全编程竞赛,让程序员感受到编写安全代码的乐趣和提高其编写安全代码的技能这些活动也给开发团队提供了一个可以评估自身信息安全成熟度水平的机会全球敏捷运维峰会广州站DevSecOps成熟度模型全球敏捷运维峰会广州站DecSecOps成熟度模型 作为一支成熟的DevSecOps团队,必须满足以下条件:工具扫描出来的高危漏洞在开发阶段需要被及时解决 团队所有开发人员必须达到一级水平 团队中的Security Champion至少达到三级水平,推荐达到五级水平成熟的DevSecOps团队,会根据成熟度简化相应的传统信息安全扫描和审核流程全球敏捷运维峰会广州站THANK YOU!