1、基于DevSecOps打造安全左移的磐舟一体化开发交付实践王庆栋中移动信息技术有限公司02提供的安全左移能力03安全左移开发实践总结01一体化开发交付平台业务的架构转变极大地促进了IT IT模式转变和技术变革随着云原生的快速发展，传统架构已经转向了应用现代化架构，业务驱动作为最大的驱动因素，极大地促进了IT模式转变和技术变革，促使企业/组织更快地上线业务应用，把握瞬息万变的市场需求。同时，应用的现代化模式，以其更高效的技术理念及手段，提升了IT运行效率和优化了资源使用率。在向现代化转型过程中，对现有信息化架构、运维模式、应用开发、测试流程、业务数据、管理模式、安全需求等都带来较为严峻的挑战。急

2、需引入新的理念并落地实践来应对挑战。IT支撑业务IT服务业务IT驱动业务硬件支撑资源池化统一运维资源虚拟化关键应用云化安全运维智能化资源交付自动化容器化建设微服务化改造云原生构建DevOps建设DevSecOps体系引进基于DevOps文化，工具+团队服务于云原生应用DevOps代表了一种 IT文化的变化，专注在面向系统的方法的背景下，采用敏捷、精益的实践来提供快速的IT服务。需求的频繁升级与快速交付、代码不断迭代、运行的弹性响应与SLA等需求，对研发安全、安全检测与防护提出了更高的要求。云原生应用，充分利用平台的能力，把安全工具转换为安全能力（服务），赋能给研发、测试以及应用，保障应用价值的

3、释放，体现技术价值。持续集成(CI)-持续交付(CD)-持续部署(CD)-持续运营(CO)持续测试(Continue Testing)测试右移过程左移尽快尽早交付价值、迭代指导原则、最佳实践全局打通敏捷研测维端到端工具链整合落地统具链统协作技术规范流程规范体系建设统协作平台动化测试部署运维项管理研发流程发布管理运营管理测试管理设计管理需求设计代码开发DevOps=+流程+具文化建设标准与规范建设工具链建设打造安全能力左移的磐舟一体化交付平台规划建设拉通需求、开发、测试、部署、运维一体的生产流水线开发过程自主可控沉淀软件代码资产提升开发交付效率一键发布上磐基，实现“乘舟上云，稳如磐基”代码仓库：

4、托管代码仓库4000+，代码提交15万+，管理代码行数6.4 亿+制品库：托管60万+依赖包，服务次数4.8亿+，镜像访问次数4亿+构建与部署：生产扫描4万+，总构建次数9万+，总部署次数62万+支撑范围：已支撑1000+开发项，周活跃用户数700+自动化测试持续交付生产运行系统A系统B系统N服务化服务化开发测试容器、微服务低代码、敏捷开发需求安全分析代码安全审计自动化编译灰度发布运行监控弹性扩容安全检测GitOps引擎云原生CICD微服务开发框架ServiceMesh能力开放公共基础标准化、自动化、全流程、整体交付核心技术磐舟磐基磐舟一体化开发交付平台提供敏捷开发管理、DevSecOps工具

5、链、各类安全的工具与安全服务，与磐基PaaS云共平台、共研发、共能力，把最佳实践与经验固化为平台工具，支撑应用从开发阶段生于云上，融入云里，最终成长为云原生应用，充分释放云原生价值。核心价值IT线条业务系统开发交付工作全量上磐舟已全面开展全网推广工作应用推广磐舟DevSecOps安全能力建设在安全防护方面，磐舟DevSecOps覆盖需求阶段、开发阶段、自动化构建、测试阶段、生产运行等方面。需求阶段通过分解需求形成安全需求清单、安全设计清单。研发、构建阶段通过在研发流水线中加入安全检测点，设立安全门禁，形成安全流水线，尽早发现安全问题，尽早修复，避免带入生产、降低生产安全威胁。测试阶段通过灰盒测

6、试实现对需求阶段中安全需求清单的审计，与需求阶段形成呼应。构建端到端的安全防护体系，将安全提前到需求阶段，从需求、代码开发阶段强化安全意识，保障应用运行安全。研发安全构建交付代码安全扫描代码质量扫描代码授权管理SQL注入检测代码安全门禁开源组件安全扫描敏感信息扫描镜像签名校验测试安全接口测试系统功能测试灰盒测试安全功能审计性能测试镜像安全扫描基础镜像安全加固需求安全法律法规安全标准监管要求功能收集分析安全需求清单安全设计清单02提供的安全左移能力03安全左移开发实践总结01一体化开发交付平台需求安全分析将安全左移至需求阶段安全设计清单安全需求清单列表识别体系化结构缺陷节约组织安全成本落地Dev

7、secops文化满足合规要求大多数安全问题是设计缺陷问题，而不是安全性错误。威胁建模能帮助识别这些设计缺陷，从而减少风险敞口，指导安全测试，并降低因安全漏洞而造成的品牌损害或财务损失等可能性。通过对威胁进行建模，并在设计阶段建立安全性需求，降低安全设计缺陷导致的修复成本。在需求管理和威胁分析阶段，与业务开发团队高效互动，释放安全团队的专业能力，专注于高性价比的安全建设。通过威胁建模跑通开发和安全工具的流程集成，把风险管理嵌入产品的完整生命周期，从而推动形成完整的DevSecOps工具链。威胁建模是国际安全行业通用的方法论，通过向管理层和监管机构提供产品的风险管理活动的完整记录，帮助团队遵守全球

8、法律法规要求，包括PCI DSS、GDPR、HIPAA、CSA STAR等。需求阶段，磐舟平台将安全相关的需求分类整理为12大类，118小类分析业务需求选择安全需求分类，并添加至安全需求清单列表根据安全需求清单选择安全设计要求，整理为安全设计清单开发人员基于安全设计清单，开发与本次需求相关的安全要求安全需求分类在不断优化，安全设计与灰盒测试紧密结合，保证安全要求的落实源代码安全分析提升整体编程水平Merge Request冲突检查增量检测编码规范缺陷检查MI指数(圈复杂度、注释.)重复文件人工代码review评审代码提交质量代码安全审计参考CWE、OWASP等权威组织对代码进行缺陷漏洞扫描：代

9、码安全涉及的方面较多，为方便用户使用，磐舟集成了各种安全能力，在统一的页面进行展示，从项目角度提供综合打分，直观体现安全水平，方便用户查看安全风险。平台不仅扫描问题，还提供了修复建议。供研发、安全人员参考，提升应用整体的安全响应水平。跨站攻击 SQL注入 信息泄露 攻击注入 拒绝服务 命令注入 XML外部实体 敏感信息泄露 跨站脚本（XSS）不安全的随机数 失效的访问控制 安全配置错误 不安全的反序列化 不足的日志记录和监控可视化呈现源代码的安全缺陷、质量缺陷，提供修复建议，快速定位并解决问题第三方开源组件安全扫描开源软件是在著作权法律框架允许下的知识产权的一种特殊处理模式。在遵守许可证的前提

10、下，任何组织或个人均可以直接获取、访问、使用源代码，对开源软件及其演绎作品进行修改和再发布。磐舟一体化开发交付平台注重于开源软件安全的管理，针对存放于磐舟平台的开源软件需进行安全信息的扫描和信息反馈，便于用户及时对开源软件中的安全漏洞进行修复。磐舟平台中集成了开源组件和开源许可证扫描的功能，可将该功能用于磐舟平台开源软件的扫描工作，在磐舟平台执行代码构建时发起扫描任务并获取扫描结果数据存放在磐舟平台的数据库中。通过对磐舟平台上传代码到代码仓库后，后台可设置自动发起开源软件扫描对本次提交的代码进行扫描，若出现高风险组件或许可证时将在前端作出高亮展示，以便排查。镜像安全扫描与加固为租户提供基础安全

11、镜像在构建流水线中，越来越多的项目采用了按代码提交构建镜像的方式，镜像相比之前构建快，数量多，这种容器交付模式，带来了新的安全挑战。磐舟平台提供了自动的扫描服务，能够及时自动、增量、批量的进行镜像扫描，对镜像中操作系统、中间依赖、文件系统的多层次扫描。平台根据风险得分，设立同步门禁，只有扫描安全的镜像才能允许同步到生产环境，杜绝应用带病上生产。123获取安全的基础镜像基于基础镜像构建业务镜像上传镜像至测试用镜像仓库扫描漏洞和病毒，修复问题后，进入发布流程4磐舟CICD区别于传统开发的优势传统开发过程中，安全通常会被放在最后的阶段，例如功能实现之后才考虑安全扫描或加固，这使得安全修复的成本偏高。

12、如果在产品开发阶段就开始考虑安全左移，则由于没有流程保证没有工具辅助，则可能无法得到保证。DevSecOps通过安全检测与DevOps流程进行对接，实现更高效更成熟的安全左移。1)CI阶段：在构建完成后立即触发镜像扫描，如果发现严重问题则不允许其上传至镜像仓库。2)CD阶段：在启动容器前，对镜像进行扫描，如果发现严重问题则不允许其上线。CI阶段用户需要将代码仓库中的发起构建，构建的同时系统自动发起代码扫描、开源软件扫描和镜像扫描工作。构建与扫描完成后用户可在构建详情页面中查看构建结果数据信息。系统确认镜像安全后可将镜像推送至镜像仓库中备用。CD阶段用户可在相应的环境下创建所需的模块，每个模块为

13、一个单独的服务所使用，针对安全的镜像可直接在模块中完成部署工作并设置相应的配置。灰盒审计提高安全测试效率和准确率污点变量1污点变量a污点变量4污点变量b变量c污点变量2变量1|污点标记无害处理识别污点源污点传播污点汇聚点污点传播阶段污染过程处理过程变量2污点变量3 污点是指来自程序外部的数据，我们认为这些数据有可能包含恶意的攻击数据 如果程序在对输入变量处理过程中，没有做好过滤和验证措施，就有可能导致有害的输入被执行 在被测系统的中间件启动时引入的一个插桩Agent（如：jar包），用来收集程序运行时的数据流。在保证原有程序逻辑完整性的基础上，在程序中插入探针，通过探针采集代码中的信息（方法本

14、身、方法参数值、返回值等）在特定的位置插入代码段，从而收集程序运行时的动态上下文信息。通过污点传播路径，测试数据流转过程中是否满足需求阶段分析的安全需求、安全设计:对于不满足的测试项进行安全审计 对于满足的测试项，进入下一流程灰盒审计与需求安全分析呼应，保障安全设计的落实02提供的安全左移能力03安全左移开发实践总结01一体化开发交付平台磐舟一体化安全开发交付实践经验价值敏捷开发过程自动化应用部署无感知应用发布沉淀技术资产融合了敏捷瀑布两种开发模式，串联需求、任务、迭代、测试、发版工作量等，提供一体化的工具，研发效率提升传统的代码打包，手工部署，升级为流水线自动化部署，分钟级发布能力，预置Gi

15、tOps流水线模板，兼容国产化ARM环境，支持国产化流量精细化管理，支撑应用AB发布、灰度发布和滚动发布，用户访问无感知应用上线速度提升，开发测试更敏捷代码、需求，过程文档、测试用例、中间件、依赖包、部署镜像等数字化资产的沉淀把开发交付过程中的经验、最佳实践提炼为平台能力，将安全工具融入到DevOps流程中，转化为安全能力，推动安全开发的落地、规范、标准、自动化，实现端到端整体安全交付。磐舟一体化开发交付平台应运而生，为应用向云原生安全升级提供技术支撑，承载应用生于云上、从OnCloud向InCloud的演进。从需求 代码变为应用，容器化部署，拉起测试，回归迭代，上线发布，使用反馈，沉淀资产，

16、安全开发贯穿全生命周期，并且在不断优化。安全开发的价值就是在支撑敏捷研发的过程中，让应用的价值流动起来、释放出来。为应用保驾护航就是磐舟安全开发最大的价值。安全开发是一条红线，贯穿应用开发的全生命周期推进水平化“研运一体”的全生命周期安全防护建设需求研发测试运营知识建设DevSecOps 成熟度能力评估DevSecOps 知识体系DevSecOps 管理体系 V3.0 DevSecOps 成熟度模型 DevSecOps 团队梯度建设方法、组织结构转型方法 建立 DevSecOps 质量度量体系与成熟度模型 建立 DevSecOps 文化+=流程建设梳理当前需求处理流程梳理当前研发管理规范Dev

17、SecOps 管理体系 V1.0+=梳理各个阶段的处理流程 梳理当前流程中的控制点 梳理各个阶段的准入准出规范 梳理各个阶段的工程规范 在已有体系中加入安全的相关规范 在已有流程中加入安全的控制点自动化交付流水线建设自动化安全工具建设DevSecOps 管理体系 V2.0工具建设 将安全融入 DevOps 过程中 在自动化交付过程中，设置安全的质量门禁，确保软件安全 静态安全工具建设 动态安全工具建设 交互式安全工具建设 开源扫描工具建设 建立自动化交付流水线 建立应用研发交付标准流程规范+=源代码审计+APP安全检测 软件成分分析+脆弱性分析 灰盒测试+生产环境软件成分分析 APP隐私检测面对DevOps敏捷开发，加强研发运维一体化安全，将磐舟研发环境中应用到的安全工具、安全能力进行整合。目前已完成DevSecOps 管理体系 V1.0到V2.0探索，未来建设DevSecOps 管理体系 V3.0。从而形成基于租户视角的安全防护能力整合，构建安全开发运维管控平台，实现面向 DevSecOps 的全生命周期安全防护。THANKS!