传统行业DevSecOps的实践_第1页
传统行业DevSecOps的实践_第2页
传统行业DevSecOps的实践_第3页
传统行业DevSecOps的实践_第4页
传统行业DevSecOps的实践_第5页
已阅读5页,还剩44页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

数据驱动De

vOps和安全的碰撞:传统行业De

vS

e

cOps的实践全球De

vOps数据Base

:

237

De

vOps

prossource

:

Forre

s

te

r’s

Q1

Global

De

vOps

Be

nchmark

Online

Surve

y已经实现了13%正在实现以及扩容50%准备12个月之内实现27%感兴趣但是12个月之内不会实现9%不感兴趣1%2018世界500强实现DevOps调查DevOps多复杂⋯⋯?VCS源码管理工具10

%38

%17

%28

%CI持续集成工具52

%18

%12

%10

%90

%80

%70

%60

%50

%40

%30

%20

%10

%0

%全球二进制使用情况包管理工具80

%在用Kube

rne

te

s20

%还没用Kube

rne

te

s95

%非生产环境5

%生产环境用Kub

e

rnetes使用情况建立De

vOps团队最佳实践组织结构考虑:在哪放我的DevOps团队?组织结构考虑:在哪放我的DevOps团队?Is

it⋯Me

ta

da

ta

holds

the

a

ns

we

r!Big

que

s

tions

to

a

s

k

-confus

e

d

pplQue

s

tion

ma

rkDa

ta

is

the

a

ns

we

r!!-

S

e

cure

?安全-?Fa

s

t?兼容性?测过?微服务依赖?自动化?Compa

tible

?Te

s

te

d?LSciuenpspeo合rt规ed性??Lice

ns

e

d?Expe

cte

d?元数据?但我的二进制?DevOps来了其实,只要有plan(及有远见的领导)幵不复杂Ansible落地DevOps第一步:选择适合你的工具KubernetesSaltShe

ll落地DevOps第二部:收集DevOps元数据,评估研发效率需求提交者、分支交付件、依赖关系和环境信息测试关键信息部署关键信息12345落地DevOps第二部:收集DevOps元数据,评估研发效率落地DevOps第二部:收集DevOps元数据,评估研发效率落地DevOps第三步:落地内部容器化Kube

rnetes生态Google

Kube

rnetes

Engine

(GKE)Azure

Containe

r

Service

(AKS)Canonical

Distributionof

Kube

rnetesSUSE

CaaS

PlatformEnterprise

Kube

rnetesMesosphere

DC/OSRed

Hat

OpenShiftRed

Hat

Tectonic落地DevOps第三步:落地内部容器化Is

it⋯S

e

cure

?Fa

s

t?Compa

tible

?Te

s

te

d?S

upporte

d?Lice

ns

e

d?Expe

cte

d?Me

ta

da

ta

holds

the

a

ns

we

r!Big

que

s

tions

to

a

s

k

-confus

e

d

pplQue

s

tion

ma

rkDa

ta

is

the

a

ns

we

r!!Uh

Oh!可怕的时刻来了你的应用你的应用你的应用你的代码我们的代码占有<0.1%14%的NPM包有漏洞30%的Docker

Hub镜像有漏洞59%的已知Maven漏洞包还没有修复MTTR

(平均修复时间)290天CVSS

10:265天我们80%的用户已经找到漏洞了Is

it⋯S

e

cure

?Fa

s

t?Compa

tible

?Te

s

te

d?S

upporte

d?Lice

ns

e

d?Expe

cte

d?Me

ta

da

ta

holds

the

a

ns

we

r!Big

que

s

tions

to

a

s

k

-confus

e

d

pplQue

s

tion

ma

rkDa

ta

is

the

a

ns

we

r!!那我怎么确保我上线的应用没有漏洞呢?Commit构建镜像/Helm

Chart安全扫描上传包及元数据到Artifactory制品库上线部署监控测试(自动化/手动)让漏洞扫描作为应用上线的质量关卡Commit构建镜像/Helm

Chart安全扫描上传包及元数据到Artifactory制品库上线部署监控测试(自动化/手动)让漏洞扫描作为应用上线的质量关卡让漏洞扫描作为应用上线的质量关卡上传构建扫描构建扫描构建扫描告警构建失败构建失败Is

it⋯S

e

cure

?Fa

s

t?Compa

tible

?Te

s

te

d?S

upporte

d?Lice

ns

e

d?Expe

cte

d?Me

ta

da

ta

holds

the

a

ns

we

r!Big

que

s

tions

to

a

s

k

-confus

e

d

pplQue

s

tion

ma

rkDa

ta

is

the

a

ns

we

r!!我有漏洞,怎么知道它的影响范围呢?深入依赖管理深入依赖管理+修复建议世界500强的DevOps落地故事煉

美国最大的数字化银行之一煉

成立

2

0

年时间煉

数百万的账户煉

2

0

1

6

年净利息收入

2

0

8

.

7

3

亿美元Ca

pitalOneCa

pitalOneCa

pitalOne国内银行A煉全国2

0

0

0+研发煉所有研发团队都通过一个p

o

r

t

a

l上线煉统一代码扫描,测试规范国内银行A金融单位A进行第三方漏洞扫描外网依赖JFrog

?公司介绍●2

0

0

8成立,2

0

1

6年进入中国市场●世界领先的De

v

Ops平台–CI/CD软件生命周期管理●开源版:1

2万个企业用户●地点:硅谷,以色列,法国,中国北京市●4

0

0

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论