蔡兵克-攻防相长，工行 DevSecOps 探索与实践

中国工商银行软件开发中心高级经理 蔡兵克 公司职位中国工商银行软件开发中心高级经理 从事研发效能提升系统建设多，现致力于金融科技架构治理、研发过程安全管理改进、智能运维场景化应用研究及推广。 行 业 软 件 安 全 体 系 演 化 目录 工 行 软 件 安 全 能 力 建 设 工 行D e v S e c O p s探 索 与 实 践 工 行D e v S e c O p s展 望 前言从国家安全战略看，国家重视网络安全建设 前言从金融行业安全趋势看，监管重点要求已趋体系化 行业软件安全体系演化 DevSecOps发展里程碑 DevOps研发模式下的软件安全转变 安全及风险管理（DevSecOps）标准框架图 中国信通院《研发运营一体化（DevOps）能力成熟度模型第6部分：安全及风险管理》一种以应用安全为核心的端到端的全新安全理念与实践模式： •控制通用风险•控制开发过程风险•控制交付过程风险•控制运营过程风险 原则：人人为安全负责·安全左移·全流程的安全内建·安全闭环强调安全是每个人的责任，指将安全内嵌到应用的全生命周期，在安全风险可控的前提下，帮助企业提升IT效能，更好地实现研发运营一体化，框架划分依据DevOps全生命周期分为需求、设计、研发、构建、测试、部署发布、运营反馈、应急响应、安全运营、安全监控。 工行软件安全能力建设 工行研发效能与安全管控探索历程 工行DevSecOps能力建设目标-一个提升、两个降低 ⽬标：构建覆盖应⽤开发运营⼀体化的安全管理及技术体系 通过向应⽤开发及测试团队提供⾃动化安全需求分析、安全设计、安全测试及模块化组件，提升软件安全开发⼯作的⾃动化⽔平，提升⼈员安全开发能⼒，减少对专项安全⼈员依赖 降低-监管合规风险 工行DevSecOps建设路径 安全能⼒⾃动化、服务化 工行DevSecOps探索与实践 工行DevSecOps能力体系 建设覆盖需求分析、设计、开发、测试、发布及运营环节的安全能力，实现安全左移及过程控制 工行DevSecOps能力体系：应用安全融合能力 建设将研发边界左移、右移，在供应链管控、需求设计、测试验证、交付部署和常态化运营等关键环节融入安全措施，挖掘应用面临风险与外部未知威胁，构筑适应自身业务发展、敏捷业务、云原生架构的共生积极防御体系，守护应用安全。 工行DevSecOps能力体系：全流程闭环自动化能力 工行DevSecOps能力体系：安全研发全生命周期工具支撑能力 阶段3：强化体系建设，整合告警收敛、实时检测 阶段2：⼯具引⼊，加强研发阶段安全 阶段1：DevOps打通及现有安全管理制度 补充安全需求、建模、代码规范能⼒，加强企业体系化安全建设，通过平台将各安全⼯具告警信息整合及收敛，降低误报甄别成本。平台提供检测、分析，定期出具安全报告。 企业完成基本DevOps建设实现全流程打通，具备基本安全管理和质量管理要求。 引⼊开源治理⼯具、IDE插件等在CICD阶段结合流⽔线完成⾃动化安全扫描和门禁设置 工行DevSecOps展望 展望未来：DevSecOps深化应用 运维和开发进⼀步融合 开发向交付服务转变 运维⼈员逐步转型为SRE，通过主动运维将相关流程和⽅法固化成代码，通过⾃动化运维来应对规模性扩张和复杂度上升的运维环境，借助⼯具⽀撑，实现开发和运维深度融合。 通过不断完善的⼯具⽀撑，减少⼈⼯介⼊，最终将发布的权⼒还给开发，让全功能团队的外延进⼀步扩⼤，开发团队的⼯作⽬标，从交付版本向交付最终⽤户可使⽤的服务转变。 从安全开发到安全原⽣ 安全与开发运维融合 通过构建⾯向开发运维各个环节的安全能⼒及统⼀化平台，达到安全过程化控制及安全左移，并将运维阶段问题回溯到开发过程及特定⼈员，最终实现从开发到运维的闭环安全管理。 通过将应⽤通⽤安全技术、平台依赖安全技术及常⽤安全能⼒固化为应⽤安全框架、制品库及微服务，实现从开发安全的应⽤到应⽤⽣⽽安全的转变，最终⼤幅降低对软件开发⼈员安全能⼒的依赖。 感谢大家观看