DevSecOps 安全实践分享

刘学忠

资深安全专家DevSecOps实践释疑二十年信息安全行业经验，精通内容安全，恶意代码，电信行业安全，数据安全和工业安全。曾在长城汽车，思特奇，等多家公司担任安全技术负责人。现任高效运维安全专家。。刘学忠资深安全专家DevOps国际峰会2

0

2

1

·北京站个人简介目录C

O

N

T

E

N

T

SD

e

v

S

e

c

O

p

s进行式01D

e

v

S

e

c

O

p

s落地实践02行业案例03问答交流04DevOps国际峰会2

0

2

1

·北京站01DevSecOps进行时D

e

v

S

e

c

O

p

s市场规模和预测DevOps国际峰会2

0

2

1

·北京站D

e

v

S

e

c

O

p

s国内行业发展现状工业行业有资金投入，可以外包参与，但是由于总体人员的能力不足以支撑DevOps的展开运行。通所以过外部能力建立的Dev

Ops体系，游离于实际应用之外，且可以工业企业应用范围有限。电信行业投入比较大，资金雄厚，有外包支援，但是因为项目前期没有充分考虑安全，所以项目在进行安全嵌入和管理的时候已经成本极其高，实现起来问题较多。其他行业的IT部门积极拥抱DevsSecOps，积极投入。但是由于前期目标不明确，所以在建设DevSecOps时候不知道从何处下手。安全前置需趁早能力建设少不了准确定位不能少DevOps国际峰会2

0

2

1

·北京站落地吐槽需要什么资源Dev

Ops落地需要哪些资源。我们能不能提供这样的资源，能不能实现？DevOps国际峰会2

0

2

1

·北京站具体落地哪些内容DevOps好是好，问题是如何落地，怎么能让人看到效果？有限条件下如何实现人员能力不足，不能改变组织架构，现有条件下怎么达成目标困难重重部门墙严重，各种的不配合。各种问题道阻且长，该怎么办？DevOps国际峰会2

0

2

1

·北京站充分定义D

e

v

S

e

c

O

p

sDevOps国际峰会2

0

2

1

·北京站Dev-Ops在发展中保密性完整性可用性运营交付开发安全安全交付开发运营DevSecOpsDevOps国际峰会2

0

2

1

·北京站DevOpsD

e

v

O

p

s和D

e

v

S

e

c

O

p

s实践释疑02DevSecOps落地实践威胁模型和保护您的构建和部署环境保护DevOps工具和工作流在快速变化的环境中进行有效的风险评估和威胁建模在CI/CD中设计和编写自动化安全测试和检查了解持续交付中不同自动化测试方法的优缺点清点并修补您的软件依赖项了解D

e

v

S

e

c

O

p

s方法论和工作流程DevOps国际峰会2

0

2

1

·北京站D

e

v

S

e

c

O

p

s流水线（方法论）PRE-COMMITTOOLS

&

TACTICSIDE-SASTTHREAT

MODELING

SECURITYREQUIREMENTS.TOOLS

&

TACTICSSAST

ON

COMMITHARDENING

SECURITY

UNITTESTSCONTINUOUS

INTEGRATIONTOOLS

&

TACTICSDASTRASPIASTIACCOMPLIANCECONTINUOUSDELIVERY

CONTINUOUSMONITORING

CONTINUOUSSCANNINGRED

TEAMTOOLS

&TACTICS

CONFIGTESTS

SECRETSMANAGEMENTCLOUD

SEC

THREATINTELPRODUCTIONDevOps国际峰会2

0

2

1

·北京站计划开发构建测试发布&交付部署运行监控反馈循环持续交付持续集成持续构建安全控制点安全参与DevOps国际峰会2

0

2

1

·北京站持续监控：符合性、有效性、网络风险指数、恶意检测持续运营：风险判断网络安全自动化：扫描，测试及验证持续监控持续运营持续部署D

e

v

S

e

c

O

p

s生命周期D

e

v

S

e

c

O

p

s实施流程和路线图DevOps国际峰会2

0

2

1

·北京站SCASASTIASTDAST关联工具和应用测试编排数据库安全扫描工具它测试通过，编译并构建开发者提交代码如果测试通过，制品发布修正DevOps国际峰会2

0

2

1

·北京站它测试未通过，报告结果，驳

回发布应用安全测试工具测试参照模型C

I/C

D开发项目应用程序安全测试编排工具关联工具

测试覆盖分析器移动应用安全测试工具交互式安全测试工具和混合工具应用安全测试作为一项服务静态应用安全测试工具动态应用安全测试工具来源/软件组成分析工具数据库安全扫描工具DevOps国际峰会2

0

2

1

·北京站应用安全测试工具金字塔保护（对资产进行安全防护）检测（对资产进行检测评估）响应（对发现问题进行整改）恢复（将系统恢复至入侵前状态）识别（识别出全部的受保护资产）扫描（工具批量扫描目标，查找漏洞）渗透（利用漏洞进行入侵）维持访问（植入后门长期利用）匿踪（更改或删除入侵日志）侦测（搜寻攻击目标和目标信息）DevOps国际峰会2

0

2

1

·北京站攻击步骤防护步骤用对抗入侵的方式进行安全防护工作：1）识别的资产其实就是攻击中的侦测目标2）保护是对扫描的对抗，3）检测是用黑客的方式渗透检查。4）响应是安全问题的处理，如已入侵则需先取证再修复。5）恢复是安

全状态置零，以方便异常检测（可以检测已匿踪的入侵者）安全体系建设方法论技术因素—选择工具和技术DevOps国际峰会2

0

2

1

·北京站七项D

e

v

S

e

c

O

p

s落地实践的要求将自动化测试和控件验证嵌入到部署周期中。清点和分析可重用代码以避免重新引入缺陷。在生产中持续监控代码和结果。创建可以滚动控制的“触发”响应如果出现问题，则恢复到已知的良好状态。评估AppSec工具的DevOps功能和自动化；根据需要更换它们。与开发、安全和IT运营团队保持一致和协调，并保持他们之间持续沟通。致力于有过程描述、自动化、持续监控和补救的文化。DevOps国际峰会2

0

2

1

·北京站03行业案例D

e

v

S

e

c

O

p

s安全开发案例DevOps国际峰会2

0

2

1

·北京站D

e

v

S

e

c

O

p

s应用安全案例DevOps国际峰会2

0

2

1

·北京站使用CDN签名保护静态内容利用弹性容器服务进行蓝/绿部署使用API

Gateway保护REST

API实现API

Gateway自定义授权Lambda函数部署Web应用程序防火墙并构建自定义WAF规则执行持续合规性扫描实施云配置策略使用云服务来保护云应用程序DevOps国际峰会2

0

2

1

·北京站代码安全镜像安全开源安全资源安全应用安全接口安全数据安全权限安全制度安全访问安全存储安全加密/解密代码协议镜像扫描镜像安全镜像加固开源协议开源漏洞开源管理主机安全存储安全中间件安全运维安全访问安全传输安全双活接口协议接口安全接口认证访问鉴权数据安全数据隔离数据备份数据容灾平台权限应用权限多厂商隔离多租户隔离制度规范操作安全人员管理违规措施镜像管理DevOps国际峰会2

0

2

1

·北京站