《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 其他 > 設(shè)計(jì)應(yīng)用 > IAST在金融業(yè)DevOps中的融合應(yīng)用探索
IAST在金融業(yè)DevOps中的融合應(yīng)用探索
網(wǎng)絡(luò)安全與數(shù)據(jù)治理 6期
朱嶷東,黃施宇,薛質(zhì),王洪濤,劉宏,李文清
(1.國金證券股份有限公司,上海201204;2.上海交通大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院,上海200240; 3.上海浦東發(fā)展銀行,上海200120 )
摘要: DevOps模式的應(yīng)用強(qiáng)化了金融行業(yè)數(shù)字化轉(zhuǎn)型中支撐業(yè)務(wù)高速發(fā)展的能力,解決該模式下引申出的各類安全風(fēng)險(xiǎn)問題已成為行業(yè)共識。針對傳統(tǒng)安全模式工具及能力和DevOps割裂使得安全賦能受限無法發(fā)揮其最大效力的問題,提出從模式架構(gòu)和流程出發(fā),以IAST為契機(jī)探索將整體安全能力運(yùn)用其中的方式,構(gòu)建安全能力一體化的解決思路,試驗(yàn)結(jié)果表明新的融合模式能夠幫助提升開發(fā)安全能力,達(dá)到安全左移目標(biāo),體現(xiàn)安全整體能力價(jià)值,實(shí)現(xiàn)通過融入DevOps貼近業(yè)務(wù)的目標(biāo)。
中圖分類號:TP311
文獻(xiàn)標(biāo)識碼:A
DOI:10.19358/j.issn.2097-1788.2023.06.010
引用格式:朱嶷東,黃施宇,薛質(zhì),等.IAST在金融業(yè)DevOps中的融合應(yīng)用探索[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2023,42(6):60-65.
Exploration of the integration application of IAST in DevOps for the financial industry
Zhu Yidong1,2,Huang Shiyu1,Xue Zhi2,Wang Hongtao1,Liu Hong1,Li Wenqing3
(1Sinolink Securities Co.,Ltd., Shanghai 201204, China; 2School of Cyber Science and Engineering, Shanghai Jiao Tong University, Shanghai 200240, China; 3Shanghai Pudong Development Bank Co.,Ltd.,Shanghai 200120,China)
Abstract: The application of the DevOps model has strengthened the ability to support rapid business development in the digital transformation of the financial industry, and addressing the various security risks arising from this model has become an industry consensus. Considering the challenges posed by the disconnection between traditional security tools and capabilities and DevOps, which limits the maximization of security enablement, this study proposes an integrated approach to address these challenges. By focusing on the model architecture and processes, and leveraging Interactive Application Security Testing (IAST) as an opportunity, the study explores the application of comprehensive security capabilities within the context of DevOps. The construction of an integrated security solution is proposed, and experimental results demonstrate that the new security fusion model can effectively enhance development security capabilities, achieving the goal of security shiftleft, reflecting the value of overall security capabilities, and realizing the objective of closely aligning with business operations through integration with DevOps.
Key words : Interactive Application Security Testing(IAST); DevOps; software security development; vulnerability detection;vulnerability management;financial industry

0     引言

汲取了敏捷開發(fā)和精益生產(chǎn)思想方法的以文化、實(shí)踐、工具為核心的DevOps理念組合,通過將計(jì)劃、集成、發(fā)布、運(yùn)維、質(zhì)量、安全、協(xié)作、改進(jìn)八大能力凝聚為統(tǒng)一整體,從而提供持續(xù)集成、持續(xù)部署、持續(xù)交付的服務(wù),實(shí)現(xiàn)高頻、高速、高超的穩(wěn)定產(chǎn)品,解決了各部門之間的矛盾,愈發(fā)受到金融機(jī)構(gòu)的青睞。例如,工商銀行通過制定涵蓋DevOps需求、研發(fā)、投產(chǎn)、生產(chǎn)運(yùn)營等流程的全生命周期研發(fā)運(yùn)營一體化機(jī)制,縮短了需求研發(fā)周期,提高了月均發(fā)布頻度,提升了投產(chǎn)效率,增強(qiáng)了研發(fā)供給能力;人保壽險(xiǎn)通過分布式平臺的建設(shè)以及 DevOps 的使用,實(shí)現(xiàn)了降本增效和項(xiàng)目按時(shí)交付;博時(shí)基金通過DevOps 統(tǒng)一研發(fā)平臺解決了研發(fā)中的代碼分支管理、環(huán)境獲取、 微服務(wù)化、持續(xù)交付等突出難題,實(shí)現(xiàn)了DevOps 轉(zhuǎn)型。

在金融科技數(shù)字化轉(zhuǎn)型中,DevOps實(shí)現(xiàn)模式各有千秋,其理念和目標(biāo)卻殊途同歸,如何將安全能力融入DevOps中,實(shí)現(xiàn)開發(fā)、測試、運(yùn)維、安全協(xié)同發(fā)展為一體的全能結(jié)構(gòu)成為行業(yè)難題。傳統(tǒng)的上線前滲透測試、漏洞掃描的方式存在介入程度低、時(shí)效滯后、返工往復(fù)的問題,已難以融入DevOps中,所以需要引入新的技術(shù)方法提升安全左移的能力和擴(kuò)展開發(fā)安全的邊界。李深等認(rèn)為傳統(tǒng)的安全技術(shù)如漏洞掃描、入侵檢測等都應(yīng)當(dāng)以適應(yīng) DevOps 流水線為目的進(jìn)行改造和運(yùn)用;王洪濤等認(rèn)為在開發(fā)左移中應(yīng)當(dāng)加大安全測試力度,使用自動(dòng)化測試、精準(zhǔn)測試等新工具和新方法提質(zhì)增效;潘莉等認(rèn)為應(yīng)當(dāng)將威脅建模工具、安全編碼工具、安全測試工具等與CI/CD平臺進(jìn)行集成從而實(shí)現(xiàn)軟件的保速保質(zhì)保量交付。顯而易見,引入新的安全檢測技術(shù)方式融合DevOps已成為行業(yè)共識。



本文詳細(xì)內(nèi)容請下載:http://ihrv.cn/resource/share/2000005375




作者信息:

朱嶷東1,2,黃施宇1,薛質(zhì)2,王洪濤1,劉宏1,李文清3

(1.國金證券股份有限公司,上海201204;2.上海交通大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院,上海200240;3.上海浦東發(fā)展銀行,上海200120 )


微信圖片_20210517164139.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。