1、大型银行大型银行DevSecOpsDevSecOps体系建设和落地实践体系建设和落地实践演讲人：周纪海演讲时间：2021.07.21目录C o n t e n t sDevSecOps简介1DevSecOps现状2DevSecOps工具3实现DevSecOps的挑战5DevSecOps在大型银行的体系建设和落地实践4DevSecOps实现和运营模型6DevSecOps工具的自动化和使用7开发团队DevSecOps能力建设8DevSecOps成熟度分析9应用安全的进一步左移10自我介绍英国伦敦帝国理工学院博士2012年起开始在以下各大银行从事DevOps转型工作：瑞士联合银行英国巴克莱银行英国汇

2、丰银行 2018年3月,从汇丰银行伦敦本部转到广州汇丰科技中国,负责汇丰科技中国投行部1500开发人员的DevOps和DevSecOps转型.2019年底加入腾讯TEG，并于2020年作为首席技术布道师加入腾讯云CODING 2021年回到汇丰科技中国证券部门负责DevSecOps转型DevSecOps简介简介01什么是DevSecOps2012年，Gartner 提出了“DevSecOps”的理念(初始为“DevOpsSec”).DevSecOps的最终目的是将信息安全意识左移左移到开发团队,并因此让所有人都为信息安全负责为什么要左移应用生命周期各阶段中，修复安全漏洞的成本随着开发生命周期推

3、移而逐渐上升为什么需要DevSecOpsDevOps 的快速交付与传统安全模式形成冲突，让安全性成为束缚快速交付的瓶颈DevSecOps 的好处包含：快速交付控制风险节省成本DevSecOps现状现状02DevSecOps社区报告连续三年仍有一半左右的开发者承认他们没有时间去处理安全问题。再次验证了整体来说，安全仍然只是口头层面的重视Synopsys DevSecOps报告DevSecOps工具工具03DevSecOps工具类型从信息安全角度来看的话，可以分为以下几类：静态应用安全工具(SAST)动态应用安全工具(DAST)交互式应用安全工具(IAST)开源软件安全工具(SCA)DevSecO

4、ps工具 静态应用安全工具CheckmarxFortify 动态应用安全工具NetSpackerOWASP ZAP 交互式应用安全工具Contrast悬镜灵脉 开源软件安全工具Sonatype IQ ServerDependencies CheckBlackduckDevSecOps在大型银行的在大型银行的体系建设和落地实践体系建设和落地实践03企业实现DevSecOps的挑战汇丰银行DevSecOps落地体系建设一，DevSecOps运作实现模型开发团队信息安全团队DevSecOps负责人二、DevSecOps工具 SAST Checkmarx IAST Contrast FOSS Sona

5、type IQ Server三、DevSecOps培训 工具培训 在线培训课程 在线学习平台：Secure Code Warrior四、DevSecOps成熟度度量标准DevSecOps实现模型第一阶段 信息安全工具 将DevSecOps工具嵌入到CICD流水线中实现自动化安全扫描 生成并公开信息安全漏洞报表 根据团队情况定制化信息安全规则第二阶段 信心安全培训 信息安全工具中的教学材料 在线培训-Secure Code Warrior 信息安全咨询第三阶段 信息安全意识和”专家”建立信心安全意识和文化 培养开发团队中的”信息安全专家”DevSecOps运营模型将DevSecOps工具集成到C

6、ICD流水线首先,相关插件需要在Jenkins服务器上安装,比如Checkmarx Jenkins插件有两种方法可以在Jenkins上配置Checkmarx扫描 Freestyle job:在”Build”部分选择“Execute Checkmarx Scan项配置Checkmarx 服务器URL,权限和源代码路径 Pipeline jobCheckmarx 扫描结果报表可以在Jenkins界面上显示出来静态应用安全工具 CheckmarxCheckMarx 可以很容易地集成到CICD流水线里自动化安全漏洞扫描和报表流程CheckMarx 可以生成基于源代码中已发现的安全漏洞的报表，并将安全漏

7、洞分类为三个等级CheckMarx让程序员可以可以发现哪一行代码存在安全漏洞,这可以帮助程序员很容易和快速的追踪安全漏洞的出处CheckMarx自带基于已发现的安全漏洞的学习资料帮助程序员去修补安全漏洞开源软件开源工具 Sonatype Neuxs IQ ServerNexus IQ Server 可以很容易地被集成到CICD流水线中去自动化安全漏洞扫描和报表流程Nexus IQ Server 产生的报表,用于展示开源代码和插件中已经存在的信息安全和执照问题Nexus IQ Server 将安全漏洞分类为三个等级 严重,中等,没有威胁DevSecOps培训 工具自带学习资料DevSecOps培

8、训 内部在线自学课程DevSecOps在线培训 Secure Code Warrior 11 https:/ Secure Code Warrior 22 https:/ 第一届信息安全编程大赛于2018年10月在印度区办公室成功举办 第二届信息安全编程竞赛于2019年2月份在中国区办公室成功举办这些活动通过让程序员参与富有竞争和协作的安全编程竞赛,让程序员感受到编写安全代码的乐趣和提高其编写安全代码的技能这些活动也给开发团队提供了一个可以评估自身信息安全成熟度水平的机会开发团队DevSecOps成熟度评审作为一支成熟的DevSecOps团队，必须满足以下条件：团队所有开发人员必须达到一级水平 团队中的Security Champion至少达到三级水平评审通过的DevSecOps团队，会根据成熟度级别简化相应的安全扫描和审核流程进一步左移目前DevSecOps模型虽然覆盖了整个软件开发周期的全过程，但在实践过程中大部分还是集中在开发和测试阶段，也就是代码安全扫描，第三方安全扫描，web和端口的安全扫描。当开发和测试阶段的安全融入逐渐成熟后，安全理念将进一步左移到需求和架构层面。需求安全 需求安全分类 需求安全评审架构安全 快速检查表 完整风险评估 威胁建模 威胁建模工具及自动化T H A N K S