業(yè)務(wù)安全與DevSecOps的最佳實(shí)踐_第1頁(yè)
業(yè)務(wù)安全與DevSecOps的最佳實(shí)踐_第2頁(yè)
業(yè)務(wù)安全與DevSecOps的最佳實(shí)踐_第3頁(yè)
業(yè)務(wù)安全與DevSecOps的最佳實(shí)踐_第4頁(yè)
業(yè)務(wù)安全與DevSecOps的最佳實(shí)踐_第5頁(yè)
已閱讀5頁(yè),還剩67頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

業(yè)務(wù)安全與DevSecOps的最佳實(shí)踐趙銳(銳少)高級(jí)經(jīng)理GOPGOPS全球運(yùn)維大會(huì)2018·深圳站12341234業(yè)業(yè)務(wù)安全與DevSecOps佳實(shí)踐的要素實(shí)踐項(xiàng)目GOPGOPS全球運(yùn)維大會(huì)2018·深圳站時(shí)間緊任務(wù)重?業(yè)務(wù)要求快速上線-保障基本功能測(cè)試-減少安全測(cè)試-功能快速迭代-上線再改-開(kāi)發(fā)新功能GOPGOPS全球運(yùn)維大會(huì)2018·深圳站鄙視鏈-安全是麻煩制造者??整天提安全需求?增加開(kāi)發(fā)工作?增加運(yùn)維要求?增加不確定性?延后業(yè)務(wù)上線GOPGOPS全球運(yùn)維大會(huì)2018·深圳站12341234業(yè)業(yè)務(wù)安全與DevSecOps佳實(shí)踐的要素實(shí)踐項(xiàng)目GOPGOPS全球運(yùn)維大會(huì)2018·深圳站我們?yōu)槭裁垂ぷ鳎?.生存需求2.歸屬?男票、女票3.成長(zhǎng)、理想?闖出天地?改變世界GOPGOPS全球運(yùn)維大會(huì)2018·深圳站我們?nèi)绾喂ぷ???業(yè)務(wù)老板-業(yè)務(wù)安全?技術(shù)老板-DevSecOpsGOPGOPS全球運(yùn)維大會(huì)2018·深圳站什么是業(yè)務(wù)安全業(yè)務(wù)安全是指保護(hù)業(yè)務(wù)系統(tǒng)免受安全威脅的措施或手段。廣義的業(yè)務(wù)安全應(yīng)包括業(yè)務(wù)運(yùn)行的軟硬件平臺(tái)(操作系統(tǒng)、數(shù)據(jù)庫(kù)等)、業(yè)務(wù)系統(tǒng)自身(軟件或設(shè)備)、業(yè)務(wù)所提供的服務(wù)的安全;狹義的業(yè)務(wù)安全指業(yè)務(wù)系統(tǒng)自有的軟件與服務(wù)的安全。GOPGOPS全球運(yùn)維大會(huì)2018·深圳站1.轉(zhuǎn)換成具體的金額減少的損失金額(千元)?賬戶安全?交易安全?支付安全?數(shù)據(jù)安全120010008006004002000Q1Q2Q3Q4賬戶交易支付數(shù)據(jù)GOPGOPS全球運(yùn)維大會(huì)2018·深圳站通過(guò)業(yè)務(wù)安全充分體現(xiàn)工作-省成本、增效益1.轉(zhuǎn)換成時(shí)間和金額?DevSecOps?效率、速度804002014201520162017GOPGOPS全球運(yùn)維大會(huì)2018·深圳站什么是DevSecOpsGartner了DevSecOps的概念(最初使用“DevOpsSec”)2017年RSA年度會(huì)議上DevSecOps成為熱門(mén)詞匯。GOPGOPS全球運(yùn)維大會(huì)2018·深圳站如何做好DevSecOps?Makingsecurityapartofeveryone’sjob?使安全成為每個(gè)人工作的一部分?Integratingpreventativecontrolsintooursharedsourcecoderepository?將預(yù)防性控制集成到我們的共享源代碼庫(kù)中?Integratingsecuritywithourdeploymentpipeline?將安全與部署管道集成來(lái)源:DevOpsHandBookGOPGOPS全球運(yùn)維大會(huì)2018·深圳站如何做好DevSecOps?Protectingourdeploymentpipeline?保護(hù)我們的部署管道?Integratingourdeploymentactivitieswithourchangeapprovalprocesses?將我們的部署活動(dòng)與我們的變更審批流程相集成?Reducingrelianceonseparationofduty?減少對(duì)分離職責(zé)的依賴來(lái)源:DevOpsHandBookGOPGOPS全球運(yùn)維大會(huì)2018·深圳站12341234業(yè)業(yè)務(wù)安全與DevSecOps佳實(shí)踐的要素實(shí)踐項(xiàng)目GOPGOPS全球運(yùn)維大會(huì)2018·深圳站人成功的三個(gè)要素人2.流程3.技術(shù)成功的DevSecOpsGOPGOPS全球運(yùn)維大會(huì)2018·深圳站人1.人是一切的基礎(chǔ)2.打破孤島3.培訓(xùn)GOPGOPS全球運(yùn)維大會(huì)2018·深圳站流程版版本控制,元數(shù)據(jù)和編碼整整合流程CICI/CD中的安全工具合規(guī)合規(guī)安安全架構(gòu)事件管事件管理紅紅藍(lán)對(duì)抗和SRC威脅情報(bào)GOPGOPS全球運(yùn)維大會(huì)2018·深圳站技術(shù)自動(dòng)化和配置管自動(dòng)化和配置管理安安全編碼基線加基線加固持持續(xù)集成連續(xù)交付的修補(bǔ)應(yīng)應(yīng)用程序的審核和掃描自動(dòng)漏洞管理掃自動(dòng)漏洞管理掃描自動(dòng)合規(guī)性自動(dòng)合規(guī)性掃描敏感信息管理GOPGOPS全球運(yùn)維大會(huì)2018·深圳站12341234業(yè)業(yè)務(wù)安全與DevSecOps佳實(shí)踐的要素實(shí)踐項(xiàng)目GOPGOPS全球運(yùn)維大會(huì)2018·深圳站選擇適合DevSecOps的項(xiàng)目1.自動(dòng)化?工具?API2.非強(qiáng)制監(jiān)管?金融?等保三級(jí)或以上GOPGOPS全球運(yùn)維大會(huì)2018·深圳站選擇適合DevSecOps的項(xiàng)目1.快速迭代?APP?WEBSite2.可接受業(yè)務(wù)風(fēng)險(xiǎn)?利益相關(guān)方?安全風(fēng)險(xiǎn)?開(kāi)發(fā)GOPGOPS全球運(yùn)維大會(huì)2018·深圳站選擇適合DevSecOps的項(xiàng)目1.DevSecOps適用性2.開(kāi)發(fā)方法項(xiàng)目約束3.合適的項(xiàng)目GOPGOPS全球運(yùn)維大會(huì)2018·深圳站實(shí)施DevSecOps項(xiàng)目1.使用原有的SecureSDLC工具2.左移GOPGOPS全球運(yùn)維大會(huì)2018·深圳站實(shí)施DevSecOps項(xiàng)目1、計(jì)劃?Scrum安全問(wèn)題?基線?代碼規(guī)范?安全培訓(xùn)?威脅建模?收集安全需求GOPGOPS全球運(yùn)維大會(huì)2018·深圳站實(shí)施DevSecOps項(xiàng)目2、創(chuàng)建?安全I(xiàn)DE插件?安全拼寫(xiě)檢查器?威脅建模?安全架構(gòu)評(píng)估?開(kāi)源產(chǎn)品評(píng)估GOPGOPS全球運(yùn)維大會(huì)2018·深圳站實(shí)施DevSecOps項(xiàng)目3、驗(yàn)證?掃描已知漏洞?掃描未知漏洞?SCA執(zhí)行OSS策略GOPGOPS全球運(yùn)維大會(huì)2018·深圳站實(shí)施DevSecOps項(xiàng)目4、安全測(cè)試?已知攻擊測(cè)試?Fuzz測(cè)試?ChaosMonkey?代碼簽名GOPGOPS全球運(yùn)維大會(huì)2018·深圳站實(shí)施DevSecOps項(xiàng)目5、安全發(fā)布?正確部署致性:簽名驗(yàn)證、完整性檢查?右移GOPGOPS全球運(yùn)維大會(huì)2018·深圳站實(shí)施DevSecOps項(xiàng)目?深度防御措施?應(yīng)用安全控制?網(wǎng)絡(luò)防護(hù)GOPGOPS全球運(yùn)維大會(huì)2018·深圳站實(shí)施DevSecOps項(xiàng)目7、檢測(cè)?滲透測(cè)試?RASP(Runtimeapplicationself-protection運(yùn)行時(shí)應(yīng)用自我保護(hù))?UEBA(UserandEntityBehaviorAnalytics用戶行為風(fēng)險(xiǎn)分析)GOPGOPS全球運(yùn)維大會(huì)2018·深圳站實(shí)施DevSecOps項(xiàng)目?RASP/WAF?屏蔽和混淆GOPGOPS全球運(yùn)維大會(huì)2018·深圳站實(shí)施DevSecOps項(xiàng)目9、預(yù)測(cè)?CVA(CorrelatedVulnerabilityAnalysis相關(guān)漏洞分析)?IoC(IndicatorsofCompromise)?STIX (StructuredThreatInformationeXpression結(jié)構(gòu)化威脅信息表達(dá)式)?TAXII (TrustedAutomatedeXchangeofIndicatorInformation,指標(biāo)信息的可信自動(dòng)化交換)GOPGOPS全球運(yùn)維大會(huì)2018·深圳站實(shí)施DevSecOps項(xiàng)目9、適應(yīng)性?持續(xù)改進(jìn)?項(xiàng)目?jī)?yōu)化GOPGOPS全球運(yùn)維大會(huì)20

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論