DevOpsDays 是一个寰球出名的系列技术会议品牌，内容涵盖了软件开发、自动化、测试、平安、组织文化以及 IT 经营的社区会议等。DevOpsDays 由 DevOps 之父 Patrick Debois 学生开办，组织中汇聚了互联网、金融以及各行各业的 DevOps 实践者，通过分享、交换彼此先进的技术思维、理念和业内最佳实际，各界精英和行业内顶尖专家以口头推动了 DevOps 在寰球范畴的落地。在过来十年的倒退中，DevOpsDays 以城市为单位迅速席卷寰球，当之无愧地成为了 DevOps 圈中最具影响力的国内盛会。

​

在 2021 届 DevOpsDays Tokyo 大会上，泛滥 DevOps 畛域大咖们带来了精彩的主题分享。DevOps 之父 Patrick Debois 也在线上为参会者答疑，分享最具价值的 DevOps 实际。CODING 资深技术专家、布道师——周纪海 也受邀参加大会并在线上以 DevSecOps 工具与实际为议题进行分享。

​

​

以下为周纪海在 DevOpsDays Tokyo 上分享的演讲内容——《DevSecOps 在大型银行中的落地实际》

DevSecOps 概念、诞生原因及劣势简介

​

DevSecOps 是 Gartner 在 2012 年就提出的概念，其原始术语是 ” DevOpsSec “。2017 年 RSA 峰会之后，DevSecOps 开始成为世界热门话题。DevSecOps 基于和连续 DevOps 的理念，其设计与执行依然处于 Agile 的框架之下。DevSecOps 的指标是将平安嵌入到 DevOps 的各个流程中去（需要，架构，开发，测试等），从而实现平安的左移，让所有人为平安负责，将安全性从被动转变为被动，最终让团队能够更快，更平安地开发出品质更好的产品。

• 传统模式下，在整个研发流程（需要，开发和测试）实现之后，在上线前须要进行平安评审。因而整个交付周期就是研发时长加上平安评估的时长。
• DevOps 模式下，通过自动化，麻利开发，团队合作。微服务设计等 DevOps 理念将整个研发阶段的时长缩短了，从而缩小了交付周期。然而，因为传统的 DevOps 模式没有思考平安，因而上线前的平安评审时长并没有因而扭转。这里能够清晰的看出，整个研发流程的瓶颈是在上线前的平安评审阶段。
• DevSecOps 模式下，因为无感地左移了上线前平安评审的局部工作到开发团队，使得平安评估阶段的时长变短，从而进一步缩短了交付周期。

DevSecOps 能够给研发效力提供诸多益处，次要体现在三个方面：

• 更快 – DevSecOps 通过自动化平安工具扫描，无感地左移了局部传统模式中在上线前最初阶段进行的平安扫描工作，使得整个交付周期变得更短，交付速度因而变得更快。
• 管制危险 – DevSecOps 缩小了开发团队对安全部门 / 团队的依赖，通过平安左移让开发团队具备发现和修改局部安全隐患和破绽的能力。
• 节省成本 – DevSecOps 因为在 SDLC 后期阶段发现并且修改安全隐患和破绽，防止了传统模式中在上线前最初阶段进行平安扫描发现高危安全漏洞后进行的返工，从而从流程上节俭了老本。

DevSecOps 在理论落地中所面临的挑战

​

在 DevSecOps 理论落地中面临了诸多挑战，其中以 技术挑战和人文挑战 最为典型。一方面，软件开发是一个简单的过程，须要 DevSecOps 提供相应的自动化工具反对，但因为 DevSecOps 是个全新的理念，市场上能够抉择的工具较少；另一方面，人们对于信息安全的器重，推广 DevSecOps 后开发人员额定减少的工作量，以及管理层的反对与否都成为 DevSecOps 是否可能顺利落地的关键因素。不过，即便没有前者的妨碍，现阶段开发人员对于信息安全常识的储备较为不足，面对安全漏洞时无奈顺利修复，也为 DevSecOps 的落地带来了极大的阻力。

DevSecOps 中罕用的平安工具品种

​

• 动态利用平安工具（SAST）：SAST 是从代码层面进行扫描安全漏洞。它的益处是能够精准定位，发现具体某一行代码有破绽，同时容易被程序员所承受。然而这种工具的毛病是误报率十分高。
• 动静利用平安工具（DAST）：DAST 更多的是通过模仿黑客对端口和站点进行攻打，尝试获取信息。这类工具的长处是扫描范畴十分广，误报率不是特地高；毛病也非常明显，就像测试一样，须要人力去写相干代码去模仿黑客攻击，对运维同学的平安常识要求比拟高，因为须要把场景模仿进去。同时，也容易产生一些脏数据。
• 交互式利用平安工具（IAST）：在利用外面插入 IAST，或者是通过代理截取流量，能够剖析零碎在经营过程中是不是有安全漏洞。长处是扫描精准、误报率低。毛病是在更新工具的同时，服务器须要重启。
• 第三方组件成分剖析（SCA）：前 3 种平安工具更多的是对本人写的代码的保障，从端口层面保障本人开发的产品是平安的。然而不可避免的是在开发过程中会引入第三方的插件工具，FOSS 工具是为了保障他人写的代码的安全性。

总的来说，SAST 和 SCA 次要利用在开发阶段，DAST 和 IAST 则利用在测试阶段，平安工具在 DevSecOps 全生命周期中的散布请参照下图：

​

DevSecOps 的施行与经营模型

​

构建 DevSecOps 体系是 DevSecOps 我的项目的最终目标，为实现这一指标，DevSecOps 施行模型 为咱们的实际提供了以下几点思路：

• 第一步是采纳 DevSecOps 工具发现应用程序的破绽。并将平安工具集成到 CI/CD 流水线中，实现自动化。最终将破绽扫描的后果在仪表盘生成可视化后果或以报告模式告诉到用户。
• 第二步是为开发人员提供培训，使他们有足够的技能来修复破绽。
• 在引入 DevSecOps 工具并为开发团队提供培训之后，DevSecOps 的最终目标是让每个人都领有 DevSecOps 的意识，并在团队中建设 DevSecOps 文化。此外，每个开发团队都心愿至多有一位具备高级应用程序平安技能的“平安专家”，可能帮忙团队修复辣手的破绽，并培训其余团队成员。

​

在理解 DevSecOps 我的项目的指标之后，DevSecOps 运行模型 提供了一个对于如何执行 DevSecOps 实现的解决方案。它定义了以下几个不同角色的职责:

• DevSecOps 负责人 – 负责人的职责是推动 DevSecOps 我的项目，推广 DevSecOps 文化，帮忙开发团队建设 DevSecOps 文化。连贯开发团队和平安团队，收集开发团队的反馈，并提供给平安团队。
• 开发团队 – 将 DevSecOps 工具集成到 CI/CD 流水线中，在仪表板上实现平安扫描后果可视化。承受 DevSecOps 培训，学习足够的利用平安常识，有足够的技能修复破绽。在理论我的项目和日常工作中应用 DevSecOps 工具和常识，逐渐扭转他们的思维形式，并在团队中建设 DevSecOps 文化。
• 平安团队 – 他们次要是提供 DevSecOps 工具以及利用平安培训。如有须要，可提供咨询服务。

以上为 2021 DevOpsDays 东京站的内容分享。