业务安全+-+DevSecOps的催化剂y240221.pptx

业务安全-DevSecOps的催化剂GOPS全球运维大会2017·上海站

DevSecOps的困境鄙视链-安全是麻烦制造者？?整天提安全需求?增加开发工作?增加运维要求?增加不确定性?延后业务上线GOPS全球运维大会2017·上海站

DevSecOps的困境安全是为了满足合规要求？?法律要求?法规要求?监管要求?合同约束GOPS全球运维大会2017·上海站

DevSecOps的困境安全是因为出事了？?安全事件?业务倒逼?外部诉讼GOPS全球运维大会2017·上海站

DevSecOps的困境安全是风险管理?业务风险?感知风险?业务价值GOPS全球运维大会2017·上海站

目录123公司的关注点DevSecOps业务安全及其催化作用GOPS全球运维大会2017·上海站

公司的关注点-高层1.公司的发展?使命愿景?战略发展?商业目标2.业务安全?风险?成本?影响GOPS全球运维大会2017·上海站

公司的关注点-业务部门1.换位思考?影响-短期增加工作量、中长期减少业务事件处理工作?收益-降低业务风险、提升正常用户的体验、增加业务收入2.双赢思维GOPS全球运维大会2017·上海站

公司的关注点-科技部门1.换位思考?影响-增加培训工作、增加开发和运维工作量、提升开发运维人员工作价值?收益-提升代码质量、降低安全事件发生率、减少修改BUG的次数、保障稳定2.双赢思维GOPS全球运维大会2017·上海站

目录123高层的关注点DevSecOps业务安全及其催化作用GOPS全球运维大会2017·上海站

什么是DevSecOps2012年，Gartner介绍了DevSecOps的概念（最初使用“DevOpsSec”）2017年RSA年度会议上DevSecOps成为热门词汇。来源：gar,GOPS全球运维大会2017·上海站

DevSecOps的特点1.每个人都对安全负责2.高层决策3.科技团队之间相互协作4.专注于风险，而非安全来源：,,GOPS全球运维大会2017·上海站

DevSecOps的现状开发人员对应用安全的兴趣情况2017年2月，Sonatype进行了DevSecOps社区调查，有超过2200名IT专业人员参与。调查显示，成熟的开发组织确保自动化安全性在早期，到处，大规模中融入DevOps实践中。来源：GOPS全球运维大会2017·上海站

DevSecOps的现状安全性是抑制灵活性的一个因素。来源：GOPS全球运维大会2017·上海站

DevSecOps的现状应用安全工具是抑制创新还是安全措施。来源：GOPS全球运维大会2017·上海站

DevSecOps-把握底线1.什么可以做2.什么不可以做GOPS全球运维大会2017·上海站

DevSecOps-基线管理1.基线（业务、系统）2.按业务的增强要求GOPS全球运维大会2017·上海站

DevSecOps–可视化1.直观易懂2.帮助管理层3.帮助业务团队4.帮助各科技团队5.体现大家的成果GOPS全球运维大会2017·上海站

DevSecOps–团队1.21世纪人才最贵2.团队成长3.职业发展GOPS全球运维大会2017·上海站

目录123高层的关注点DevSecOps业务安全及其催化作用GOPS全球运维大会2017·上海站

什么是业务安全业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台(操作系统、数据库等)、业务系统自身(软件或设备)、业务所提供的服务的安全;狭义的业务安全指业务系统自有的软件与服务的安全。GOPS全球运维大会2017·上海站

业务安全业务安全目标?支持公司战略?保障业务发展?减少资金损失GOPS全球运维大会2017·上海站

原来的软件安全1.满足业务功能需求?功能第