DevSecOps的落地实施建议.pdf
《DevSecOps的落地实施建议.pdf》由会员分享,可在线阅读,更多相关《DevSecOps的落地实施建议.pdf(34页珍藏版)》请在冰豆网上搜索。
![DevSecOps的落地实施建议.pdf](https://file1.bdocx.com/fileroot1/2022-10/7/f81b1531-28d1-4964-998b-ab8d8ffde27f/f81b1531-28d1-4964-998b-ab8d8ffde27f1.gif)
DevOps国际峰会2018北京站DevSecOps的落地实施建议赵锐(锐少)DevOps国际峰会2018北京站目录DevSecOps1实施前的准备工作2实施案例剖析及建议3DevOps国际峰会2018北京站2012年,Gartner介绍了DevSecOps的概念(最初使用“DevOpsSec”)从2017年开始DevSecOps成为热门词汇。
来源:
DevSecOpsDevOps国际峰会2018北京站DevSecOps的实施调查DevOps国际峰会2018北京站DevSecOps的实施调查DevOps国际峰会2018北京站DevSecOps的实施调查DevOps国际峰会2018北京站DevSecOps的实施调查DevOps国际峰会2018北京站DevSecOps的实施调查DevOps国际峰会2018北京站DevSecOps的实施调查DevOps国际峰会2018北京站DevSecOps的实施调查DevOps国际峰会2018北京站DevSecOps的实施调查DevOps国际峰会2018北京站目录DevSecOps1实施前的准备工作2实施案例剖析及建议3DevOps国际峰会2018北京站1.理解业务知道老板关心什么2.得到老板支持在DevOps中增加Sec的好处3.得到相关同事的支持提高质量、效率职业发展实施前的准备工作DevOps国际峰会2018北京站实施前的准备工作-人1.人是一切的基础2.打破孤岛3.培训DevOps国际峰会2018北京站实施前的准备工作-流程版本控制,元数据和编码版本控制,元数据和编码整合流程整合流程CI/CD中的安全工具中的安全工具合规合规安全架构安全架构事件管理事件管理红蓝对抗和红蓝对抗和SRC威胁情报威胁情报DevOps国际峰会2018北京站实施前的准备工作-技术自动化和配置管理自动化和配置管理安全编码安全编码基线加固基线加固持续集成连续交付的修补持续集成连续交付的修补应用程序的审核和扫描应用程序的审核和扫描自动漏洞管理扫描自动漏洞管理扫描自动合规性扫描自动合规性扫描敏感信息管理敏感信息管理DevOps国际峰会2018北京站实施前的准备工作关键产品/项目1、产品重要,老板才会关注,才有资源支持2、项目要能持续,只有这样才能看到改进成果团队基础好1、积极向上,有追求2、学习型团队历史事件1、结合历史安全事件2、补充预防措施DevOps国际峰会2018北京站1.文化2.自动化3.精益4.度量5.分享实施前的准备工作DevOps国际峰会2018北京站确定目标计划运营监控响应扫描开发设计需求实施前的准备工作DevOps国际峰会2018北京站目录DevSecOps1实施前的准备工作2实施案例剖析及建议3DevOps国际峰会2018北京站实施案例剖析及建议DevOps国际峰会2018北京站选用合适的工具告警响应实施案例剖析及建议DevOps国际峰会2018北京站选用合适的工具运营监控实施案例剖析及建议DevOps国际峰会2018北京站选用合适的工具测试OWASPZedAttackProxyProjectOWASPOWTFGAUNTLT实施案例剖析及建议DevOps国际峰会2018北京站选用合适的工具源代码扫描实施案例剖析及建议DevOps国际峰会2018北京站选用合适的工具设计-威胁建模实施案例剖析及建议DevOps国际峰会2018北京站选用合适的工具需求实施案例剖析及建议DevOps国际峰会2018北京站实施案例剖析及建议安全安全DevOps国际峰会2018北京站1.从易到难利用现有平台、工具减少手工操作手工补充自动代码扫描(最容易接受并使用)2.后续计划自动编码自动需求分析自动架构设计实施案例剖析DevOps国际峰会2018北京站实施案例剖析-人员收获开发人员:
代码质量提高效率提升安全测试:
工作量明显减少运维:
OnCall的时候电话少了DevOps国际峰会2018北京站实施案例剖析-经济收益收益安全漏洞、事件损失DevOps国际峰会2018北京站ThanksDevOpsDevOps时代社区荣誉出品DevOps国际峰会2018北京站想第一时间看到高效运维社区的新动态吗?