金融行业标杆企业在DevOps敏捷开发过程中的安全实践-CSDN博客

本文链接：https://blog.csdn.net/weixin_72305072/article/details/146257832

背景和意义

近年来，信息与通信技术在证券行业得到广泛应用，然而随着DevOps开发模式成为趋势，传统的安全措施已无法跟上敏捷开发、快速迭代的步伐，传统的安全测试也无法满足由网络技术发展带来的各项威胁。同时，证券期货行业信息安全保障协调小组、中国证监会信息中心等机构包括国家机构在内对证券行业提出了网络信息安全的要求并出台有关办法，落实安全事故处理、监管与主体责任。

基于此，中信建投证券有限公司（以下简称“中信建投”）通过引入Atlassian JIRA管理系统+悬镜灵脉IAST灰盒安全测试平台（以下简称“灵脉IAST”）+JFrog Artifactory制品库+蓝鲸DevOps平台等技术，结合中信建投现有的自动化安全工具链，构建了一套完善的DevSecOps敏捷安全管理体系，使得安全能力在整个业务生命周期中左置前移，提高应用层的威胁发现能力，同时将信息安全管理工作透明、无感知的介入到DevOps流程中，建立统一的自动化检测流程。

难点和问题

构建整个DevSecOps敏捷安全管理体系，主要目的是解决如下四个难点和问题：

1.安全介入时间太靠后，以往的安全测试仅在上线前进行防护或开展上线后的运营工作，已逐渐无法满足由网络技术发展带来的各项威胁。

2.传统应用安全测试过程中存在重放数据包产生的脏数据问题，极大地影响了开发效率。

3.传统应用安全测试工具难以整合到DevOps流水线中，开发流程与测试流程仍处于割裂状态，无法实现软件产品的快速迭代、持续交付。

4.传统的安全管理体系无法应对DevOps开发模式下的敏捷开发、持续交付，无法及时形成安全管理闭环。

建设方案

中信建投结合自身业务需求和现状，以DevOps平台为基础平台，将安全管理介入开发管理的整个过程，并形成DevSecOps落地的整体规划和指导方法。从管理要求、检查手段、管控手段方面进行规划和建设，并关注运营效果，设立度量指标，持续驱动DevSecOps体系不断改善。

中信建投DevSecOps落地实践规划图

中信建投通过维护一套安全能力&工具链建设全景图，可直观展示各项实践工作的落地情况。全景图将DevSecOps分为七个阶段，分别是需求设计阶段、编码阶段、编译构建阶段、测试阶段、预发布阶段、发布阶段、线上运维阶段。每个阶段对应相应的安全能力和需要利用的安全工具。以完整的流程阶段指导软件安全开发的正常进行，朝着预想的目标迈进。

DevOps敏捷安全平台图

1.需求设计阶段

需要明确被分析项目的类别、安全管控级别，结合安全威胁库，安全需求库，项目合规要求，参考STRIDE进行威胁建模。

2.编码和编译构建阶段

基于安全编码知识库，使用安全组件及安全SDK进行安全编码，可采用白盒扫描工具进行IDE安全插件、CI自动化扫描等，并出具检测报告，对开发环境进行安全性检测。应格外注意引入的开源组件的安全性，可以基于SCA技术对第三方开源组件进行安全扫描，重点关注源仓库扫描、制品库扫描。在该阶段采用JFrog Artifactory+Xray组合对开源组件进行管理，Xray通过与Artifactory深度集成，对二进制软件组件进行通用分析，了解所管理的组件是否存在安全问题。

3.测试阶段

重点是借助于DAST的Web应用全扫描技术和IAST交互式应用安全扫描技术对开发测试阶段的代码进行扫描，借助渗透测试模拟黑客攻击的方式，对应用进行全方位的入侵渗透测试，来评估业务系统的安全性。在该阶段采用灵脉IAST针对蓝鲸DevOps平台定制开发了插件，嵌入到其流水线中。在现有DevOps流程下调用该插件，实现两个平台之间的项目基础数据传输。通过利用灵脉IAST测试和研发人员可以直观的看到测试结果，在发现被测系统BUG的同时，发现系统存在的安全漏洞，开发人员可进行功能与安全的同步修复。

4.上线前预发布和发布阶段

重点在于安全集成评估，生产环境部署验证可以考虑安全基线、安全套件检测。上线审批时，应进行剩余风险评估与接受分析，对风险等级进行评定，风险接受策略进行制定。

5.上线运维阶段

应制定实时应急响应机制，同时可以采用RASP技术进行运行时防护。