DevSecOps解决方案—助力企业提升安全开发效能

2023-03-24 10:22

当前,云计算、大数据及人工智能等核心技术构建了万物互联的数字智能世界,消除了原有传统网络和应用的边界,让原本边界安全防护理念付诸东流,给安全带来了极大的挑战。


为解决安全问题,企业需要将安全工作前置在开发、测试等各个环节,达到“安全即代码、治标亦治本”的安全目标。而DevSecOps安全解决方案,可以让安全贯穿业务全生命周期,包括技术开发、测试、发布、上线、部署及运营等阶段。从而构建新一代安全、高效、合规的全生命周期应用安全运营体系,为“数字经济”保驾护航。


开源网安纵深安全研运管理平台(简称S-DSO)是一站式、全流程、安全可信的企业级DevSecOps解决方案。





通过“服务+工具+平台”的形式,将安全以自动化、无感知的方式融入到研运全流程,使安全成为企业 “由上至下”的共同责任,助力企业构建“人、流程、技术及治理”四维一体的纵深安全防护体系,实现持续集成(CI)、持续交付/部署(CD)以及持续安全(CS),提升企业交付效率和交付质量。同时,提高企业整体安全态势和安全应急响应能力,从源头降低企业安全治理成本。




3大客户痛点




01

软件研发技术多元化,建立安全的研发模式

02

安全与研发部门孤岛化,建立高效的协作方式

03

安全能力工具多样化,建立统一的安全工具链




4大平台优势


开源网安DevSecOps解决方案,以安全研运管理平台(S-DSO)为载体,构建以安全能力无缝融入的CI/CD流水线为核心,立足客户实际业务场景,基于DevSecOps文化理念的“四维一体” 纵深安全防护体系。







01

以人为本,塑造安全文化

人是DevSecOps实施的起点和基础。在帮助企业打造符合自身实际的最佳DevSecOps落地方案中,开源网安专业的安全培训团队可在企业客户内部开展高质量和有针对性的安全知识、流程以及工具培训,不仅可以帮助企业快速实践DevSecOps,而且可以帮助企业塑造一种“由上至下”的共享安全文化。




02

以流程为结合点,促进DevSecOps转型

开源网安DevSecOps解决方案以标准敏捷开发模式为立足点,还提供多种研发流程的适配方案,帮助企业完善自身的研发流程,探索企业DevSecOps转型的“无痛式”解决方案。




03

以技术为抓手,推进全流程应用安全闭环

DevSecOps落地实践需要拥有合适的技术,使员工能够高效执行DevSecOps流程,快速切入DevSecOps实践。开源网安安全研运管理平台(S-DSO)是由开源网安完全自主研发,安全可控,将安全工具无缝、透明地融入自动化的CI/CD流水线中,逐步涵盖安全需求设计、安全编码、安全测试到安全部署/发布等全软件开发生命周期,最终减少组织的攻击面,并使技术安全债务得到有效管理,健全安全风险闭环管理的体系。




04

以治理为总览,搭建DevSecOps度量体系

开源网安DevSecOps解决方案,借助一体化的S-DSO平台的效能度量能力,建立安全性、交付速度、质量、可靠性等综合性指标体系,帮助管理者从人、流程以及工具等维度了解团队在DevSecOps实践中的进展和成果,以便及时发现和解决问题,优化流程和资源分配,提高整个组织的效率和价值。




7大平台价值







01

项目管理可视化,打破信息孤岛

基于敏捷迭代的方法论,以任务流的方式在可视化的迭代看板中统一将需求、研发任务、安全任务、测试任务和缺陷进行多个维度的关联,打破跨职能人员之间的信息孤岛,实现管理者和团队对项目的可追踪、可溯源、可分析和可管控一体化能力,为企业的数智化转型提供更多的工具支撑。




02

代码管理标准化,提高研发效率

代码库借助基于Git的存储库,结合代码合并前的自动化安全质量控制门,构建一套标准的安全代码管控流程,实现快速交付的同时确保代码安全与合规。




03

安全检测常态化,降低安全风险

在设计阶段通过威胁建模,自动生成与业务需求相关的安全任务,从软件开发早期介入安全活动。在编码、测试阶段,通过强大的CI/CD流水线无缝、透明地将安全检测工具(SCA、SAST、IAST等)融入整个研发周期;同时,在上线运行阶段,提供运行时安全防护(RASP),实现真正的安全检测常态化。




04

制品管理统一化,防止人工篡改

为企业在内部搭建一套统一的制品管理流程,通过来源、晋级、流行度以及签名等方式,保证制品在环节的一致性及可溯源性。




05

安全风险态势化,降低修复成本

不仅提供已检测出的安全风险跟踪与监控,还可依据不同企业客户对安全的成本考量,自定义符合企业自身实际的安全态势感知数据,实现在降低安全成本的基础上,快速交付符合企业安全标准的应用要求。




06

研发效能指标化,降低决策成本

通过一体化平台,为各类角色提供高度共享的上下文信息以及多维数据指标分析体系,实现流程的透明化和可视化。一方面提升关联方的协作效率,另一方面帮助管理人员快速识别交付瓶颈。




07

安全研运一体化,降低实践成本

提供一套集成的工具和流程,帮助开发团队更轻松地实践DevSecOps,并在安全性、交付速度、质量和可靠性等方面取得更好的成效。




7大业务场景









01

跨职能协作的全流程项目管理

在复杂的软件研发过程中,企业可通过DevSecOps平台项目管理功能帮助管理者、产品、研发、测试及安全等跨职能角色在一致的目标下高效协同,消除信息孤岛,协助项目成员进行合理的资源分配,把控项目进度及风险,从源头保障产品交付质量并满足安全需求。




02

软件编码过程中的代码安全管理

为满足多人共同协作代码开发场景,开发者可通过DevSecOps平台的代码管理服务实现代码管理、合并请求、分支保护、权限管理等实用功能,规避本地代码管理的局限与安全性障碍,帮助企业实现安全、稳定、高效的研发过程管理。



03

CI/CD流水线与安全工具编排

为满足企业快速迭代的项目需要,DevSecOps平台的流水线功能在传统自动化的持续集成、持续交付工具基础上,进行全套安全检测(如SAST、IAST、DAST、SCA等),支持自动化代码质量检查、编译构建与制品存档及自动部署,实现“一次配置,多次复用“的效果,大大降低开发人员的工作负担,减少许多不必要的重复劳动,进而提升代码质量与开发效率。



04

标准化的一站式制品安全管理

为解决企业内研发组织制品管理粗粒度没有基本制品管理体系的问题,DevSecOps平台制品管理不仅可以对流水线制品进行存档、版本控制,还支持企业定制化制品等级,帮助研发团队直观地区分制品版本的成熟度及安全情况,使得最终交付生产的制品版本是合格的、可信赖的。




05

测试管理与缺陷自动化流转

为了让测试工作更规范、更有效率,实现测试流程无纸化,测试数据资产化,DevSecOps平台的测试管理功能围绕测试任务新建、测试用例库设计、测试计划搭建、测试计划评审到测试缺陷反馈等核心功能,为测试团队提供敏捷测试工作流程,同时提高测试与研发团队的协同工作效率,做到“缺陷自动化”流转。




06

安全风险/漏洞全生命周期监控

风险可视化是企业DevSecOps落地实践的一项重要需求。DevSecOps平台基于软件生命周期各个阶段安全检测工具发现的安全风险、安全漏洞,进行标准化的问题严重性分析与管理,将安全责任落实到具体的人员,实时追踪风险的处置状态,并提供修复验证的能力,最终实现“人人为安全负责,安全问题可溯源”的目的。




07

企业级Wiki空间

企业用户可通过DevSecOps 平台提供的Wiki空间搭建一个更适合产研团队的在线知识库,使产研团队成员能通畅地进行信息共享与协作,促进信息的高度复用和流通。