《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 其他 > 设计应用 > IAST在金融业DevOps中的融合应用探索
IAST在金融业DevOps中的融合应用探索
网络安全与数据治理 6期
朱嶷东,黄施宇,薛质,王洪涛,刘宏,李文清
(1.国金证券股份有限公司,上海201204;2.上海交通大学 网络空间安全学院,上海200240; 3.上海浦东发展银行,上海200120 )
摘要: DevOps模式的应用强化了金融行业数字化转型中支撑业务高速发展的能力,解决该模式下引申出的各类安全风险问题已成为行业共识。针对传统安全模式工具及能力和DevOps割裂使得安全赋能受限无法发挥其最大效力的问题,提出从模式架构和流程出发,以IAST为契机探索将整体安全能力运用其中的方式,构建安全能力一体化的解决思路,试验结果表明新的融合模式能够帮助提升开发安全能力,达到安全左移目标,体现安全整体能力价值,实现通过融入DevOps贴近业务的目标。
中圖分類號(hào):TP311
文獻(xiàn)標(biāo)識(shí)碼:A
DOI:10.19358/j.issn.2097-1788.2023.06.010
引用格式:朱嶷東,黃施宇,薛質(zhì),等.IAST在金融業(yè)DevOps中的融合應(yīng)用探索[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,2023,42(6):60-65.
Exploration of the integration application of IAST in DevOps for the financial industry
Zhu Yidong1,2,Huang Shiyu1,Xue Zhi2,Wang Hongtao1,Liu Hong1,Li Wenqing3
(1Sinolink Securities Co.,Ltd., Shanghai 201204, China; 2School of Cyber Science and Engineering, Shanghai Jiao Tong University, Shanghai 200240, China; 3Shanghai Pudong Development Bank Co.,Ltd.,Shanghai 200120,China)
Abstract: The application of the DevOps model has strengthened the ability to support rapid business development in the digital transformation of the financial industry, and addressing the various security risks arising from this model has become an industry consensus. Considering the challenges posed by the disconnection between traditional security tools and capabilities and DevOps, which limits the maximization of security enablement, this study proposes an integrated approach to address these challenges. By focusing on the model architecture and processes, and leveraging Interactive Application Security Testing (IAST) as an opportunity, the study explores the application of comprehensive security capabilities within the context of DevOps. The construction of an integrated security solution is proposed, and experimental results demonstrate that the new security fusion model can effectively enhance development security capabilities, achieving the goal of security shiftleft, reflecting the value of overall security capabilities, and realizing the objective of closely aligning with business operations through integration with DevOps.
Key words : Interactive Application Security Testing(IAST); DevOps; software security development; vulnerability detection;vulnerability management;financial industry

0     引言

汲取了敏捷開發(fā)和精益生產(chǎn)思想方法的以文化、實(shí)踐、工具為核心的DevOps理念組合,通過(guò)將計(jì)劃、集成、發(fā)布、運(yùn)維、質(zhì)量、安全、協(xié)作、改進(jìn)八大能力凝聚為統(tǒng)一整體,從而提供持續(xù)集成、持續(xù)部署、持續(xù)交付的服務(wù),實(shí)現(xiàn)高頻、高速、高超的穩(wěn)定產(chǎn)品,解決了各部門之間的矛盾,愈發(fā)受到金融機(jī)構(gòu)的青睞。例如,工商銀行通過(guò)制定涵蓋DevOps需求、研發(fā)、投產(chǎn)、生產(chǎn)運(yùn)營(yíng)等流程的全生命周期研發(fā)運(yùn)營(yíng)一體化機(jī)制,縮短了需求研發(fā)周期,提高了月均發(fā)布頻度,提升了投產(chǎn)效率,增強(qiáng)了研發(fā)供給能力;人保壽險(xiǎn)通過(guò)分布式平臺(tái)的建設(shè)以及 DevOps 的使用,實(shí)現(xiàn)了降本增效和項(xiàng)目按時(shí)交付;博時(shí)基金通過(guò)DevOps 統(tǒng)一研發(fā)平臺(tái)解決了研發(fā)中的代碼分支管理、環(huán)境獲取、 微服務(wù)化、持續(xù)交付等突出難題,實(shí)現(xiàn)了DevOps 轉(zhuǎn)型。

在金融科技數(shù)字化轉(zhuǎn)型中,DevOps實(shí)現(xiàn)模式各有千秋,其理念和目標(biāo)卻殊途同歸,如何將安全能力融入DevOps中,實(shí)現(xiàn)開發(fā)、測(cè)試、運(yùn)維、安全協(xié)同發(fā)展為一體的全能結(jié)構(gòu)成為行業(yè)難題。傳統(tǒng)的上線前滲透測(cè)試、漏洞掃描的方式存在介入程度低、時(shí)效滯后、返工往復(fù)的問(wèn)題,已難以融入DevOps中,所以需要引入新的技術(shù)方法提升安全左移的能力和擴(kuò)展開發(fā)安全的邊界。李深等認(rèn)為傳統(tǒng)的安全技術(shù)如漏洞掃描、入侵檢測(cè)等都應(yīng)當(dāng)以適應(yīng) DevOps 流水線為目的進(jìn)行改造和運(yùn)用;王洪濤等認(rèn)為在開發(fā)左移中應(yīng)當(dāng)加大安全測(cè)試力度,使用自動(dòng)化測(cè)試、精準(zhǔn)測(cè)試等新工具和新方法提質(zhì)增效;潘莉等認(rèn)為應(yīng)當(dāng)將威脅建模工具、安全編碼工具、安全測(cè)試工具等與CI/CD平臺(tái)進(jìn)行集成從而實(shí)現(xiàn)軟件的保速保質(zhì)保量交付。顯而易見,引入新的安全檢測(cè)技術(shù)方式融合DevOps已成為行業(yè)共識(shí)。



本文詳細(xì)內(nèi)容請(qǐng)下載:http://ihrv.cn/resource/share/2000005375




作者信息:

朱嶷東1,2,黃施宇1,薛質(zhì)2,王洪濤1,劉宏1,李文清3

(1.國(guó)金證券股份有限公司,上海201204;2.上海交通大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院,上海200240;3.上海浦東發(fā)展銀行,上海200120 )


微信圖片_20210517164139.jpg

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。