传统行业DevSecOps的实践

1、数据驱动 DevOps 和安全的碰撞：传统行业 DevSecOps 的实践全球DevOps数据Base: 237 DevOps prossource: Forresters Q1 Global DevOps Benchmark Online Survey50%已经实现了13%正在实现以及扩容准备12个月之内实现27%感兴趣但是12个月之内不会实现9%不感兴趣1%2018 世界500强实现DevOps调查DevOps 多复杂?VCS源码管理工具10%38%17%28%CI持续集成工具52%18%12%10%90%80%70%60%50%40%30%20%10%0%全球二进制使用情况包管理工具80

2、%在用Kubernetes20%还没用Kubernetes95%非生产环境5%生产环境用Kubernetes 使用情况建立DevOps团队最佳实践组织结构考虑：在哪放我的DevOps团队？组织结构考虑：在哪放我的DevOps团队？Is it-Secure?Metadata holds the answer!Big questions to ask - confused ppl Question markData is the answer!安全- ? Fast?Compatible?Tested?-Licensed?Expected?兼容性？测过？微服务依赖?自动化?LSicuenpspeo合

3、rt规ed性? ?元数据?但我的二进制？DevOps 来了其实，只要有plan （及有远见的领导）并不复杂Ansible落地DevOps第一步：选择适合你的工具KubernetesSaltShell落地DevOps第二部：收集DevOps元数据，评估研发效率需求提交者、 分支交付件、 依赖关系和环境信息测试关键信息部署关键信息12345落地DevOps第二部：收集DevOps元数据，评估研发效率落地DevOps第二部：收集DevOps元数据，评估研发效率落地DevOps第三步：落地内部容器化Kubernetes 生态Google Kubernetes Engine (GKE)Azure Con

4、tainer Service (AKS)Canonical Distribution of KubernetesSUSE CaaS PlatformEnterprise KubernetesMesosphere DC/OSRed Hat OpenShiftRed Hat Tectonic落地DevOps第三步：落地内部容器化Is itSecure?Fast?Compatible?Tested?Supported?Licensed?Expected?Metadata holds the answer!Big questions to ask - confused ppl Question mar

5、kData is the answer!Uh Oh！可怕的时刻来了你的应用你的应用你的应用你的代码我们的代码占有 0.1%14% 的 NPM 包有漏洞30% 的 Docker Hub 镜像有漏洞59% 的已知 Maven 漏洞包还没有修复MTTR （平均修复时间）290天CVSS 10: 265天我们 80% 的用户已经找到漏洞了Is itSecure?Fast?Compatible?Tested?Supported?Licensed?Expected?Metadata holds the answer!Big questions to ask - confused ppl Question

6、markData is the answer!那我怎么确保我上线的应用没有漏洞呢？Commit构建镜像Helm Chart安全扫描上传包及元数据到Artifactory制品库上线部署监控测试（自动化手动）让漏洞扫描作为应用上线的质量关卡Commit构建镜像Helm Chart安全扫描上传包及元数据到Artifactory制品库上线部署监控测试（自动化手动）让漏洞扫描作为应用上线的质量关卡让漏洞扫描作为应用上线的质量关卡上传构建扫描构建扫描构建扫描告警构建失败构建失败Is itSecure?Fast?Compatible?Tested?Supported?Licensed?Expected?Me

7、tadata holds the answer!Big questions to ask - confused ppl Question markData is the answer!我有漏洞，怎么知道它的影响范围呢？深入依赖管理深入依赖管理 + 修复建议世界500强的DevOps落地故事美国最大的数字化银行之一 成立 20 年时间 数百万的账户 2016 年净利息收入 2 0 8 . 7 3 亿美元 CapitalOneCapitalOneCapitalOne国内银行 A全国 2 000+ 研发 所有研发团队都通过一个 p o r t a l上线 统一代码扫描，测试规范 国内银行 A金融单位 A进行第三方 漏洞扫描 外网依赖 JFrog ？公司介绍2008成立，2016年进入中国市场世界领先的DevOps平台 CI/CD软件生命周期管理开源版：12万个企业用户