ISC 2018-DevSecOps-华泰证券-张嵩分享版.pdf
50墨值下载
DevSecOps工具链实践
张嵩 华泰证券信息安全总监
安全地软件开发中的挑战
• 开发运维人员缺少安全技能、意识
• 安全专业人员很有限
• 第一道防线安全往往在运维的基础架构
类职能下,地位不高,很难对等的协同
• 开发、运维的壁垒,安全职能难以嵌入
进IT生命周期的各个阶段
• 开发交付团队,甚至管理层过度地强调
“速度”,在与速度的平衡中,对安全
风险的机会主义风险偏好过大
• 安全人员技能欠缺,安全“运营”的程
度低
• 安全工具自动化不足或集成程度不高
• 漏洞多是在上线前一刻被发现,而不是
持续在开发的“管道”PIPELINE中被识
别—修复成本过高
• 控制点或审计点过于滞后或缺失
• 安全需求、要求、架构设计的持续交付
得不到保障
• 缺少全链条各阶段的风险视角和风险管
理能力
• 老的、不标准的架构与应用系统
• 最佳实践和架构PATTERN积累有限
• 环境标准化发放和维护程度低
组织与文化
技术与架构
过程与控制
技能与工具
增加开发人员的责任!!!
of 9
50墨值下载
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文档的来源(墨天轮),文档链接,文档作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
下载排行榜
评论