演讲回顾 | 申万宏源证券：如何 100 天打造 DevSecOps 落地样板间 | 附 PPT

2023年10月26日-27日，第21届 GOPS 全球运维大会在上海圆满举行。

本次会上，来自中国信通院、中国农业银行、交通银行、申万宏源证券等专家，还有来自通信行业、金融保险等80 +专家学者围绕 DevOps、AIOps、SRE、持续测试、安全等话题带来精彩分享。

申万宏源证券应用安全团队负责人王忭思带来“100天打造 DevSecOps 的落地样板间”的分享。具体演讲内容如下：

DevSecOps 是一种基于敏捷的 DevOps 安全框架，能够快速与已有开发流程相结合。

DevSecOps 颠覆了传统开发完成再进行安全保障的流程，本文分享了申万宏源证券打造 DevSeOps 样板间的经验：目标设定、调研摸底、平台与工具链设计及安全培训等方法，为申万宏源证券的 DevSecOps 实践提供了坚实的基础，保障了信息安全。

01

快速打造 DevSecOps 样板间

1、目标设定

为了打造 DevSecOps 样板间，我们第一步着手进行了目标的设定，将应用安全划分为不同模块：安全工具链、安全工具链集成、流程制度、文化建设等。

每个模块按照需求、设计、开发、测试、运营的子任务进行拆解，拆解后得到比较详尽的 DevSecOps Todolist。再对任务进行时间和优先级的确定，这样的提前规划极大的节省了时间。

2、调研与摸底

调研与摸底分为项目级和角色级。

1）项目级调研选取了比较典型的应用，对于不同形态、不同技术栈的应用研制一份详尽清单。

2）角色级，对 PM、开发、测试、运维分别进行访谈，以掌握他们对于安全理念的了解情况。

3、平台与工具链设计

经过目标设定与调研摸底之后，正式进入 DevSecOps 的落地流程阶段。平台与工具链设计分为两个部分：工具的选择和工具链的集成。

1）工具的选择，工具的选择相对好做，因为不涉及到多部门的合作。我们将软件生命周期中的步骤与目前落地的安全相关制度、工具、流程进行了整合。

黄色部分是现在落地的工具，可以发现这些工具在每个阶段都有涉及，各家企业可以根据自己的特点做一个优先级落地。

2）工具链集成。DevSecOps 每个阶段都有较多的工具，因此需要一个安全开发一体化平台将这些工具以插件的形式集成在平台中，统一对外提供服务。安全一体化平台一方面承载了安全扫描的插件。

同时安全开发一体化平台需要与 DevOps 平台打通。比如在需求阶段，安全一体化平台可以做轻量级的威胁建模，并输出功能需求对应的安全需求，这些安全需求推送到 DevOps 平台上流转；开发过程中的编码级漏洞也可以流转到平台上进行闭环。

4、应用安全培训

培训的阶段也需要进行提前规划，针对不同的决策和流程进行专项的、周期的资源储备。提前储备了培训内容之后，培训的实际展开时间可以根据推广的过程来实现。

比如推广了安全需求平台，就可以配套进行安全需求列表的培训，如何使用平台等的一系列培训。