《電子技術應用》
您所在的位置:首頁 > 其他 > 设计应用 > IAST在金融业DevOps中的融合应用探索
IAST在金融业DevOps中的融合应用探索
网络安全与数据治理 6期
朱嶷东,黄施宇,薛质,王洪涛,刘宏,李文清
(1.国金证券股份有限公司,上海201204;2.上海交通大学 网络空间安全学院,上海200240; 3.上海浦东发展银行,上海200120 )
摘要: DevOps模式的应用强化了金融行业数字化转型中支撑业务高速发展的能力,解决该模式下引申出的各类安全风险问题已成为行业共识。针对传统安全模式工具及能力和DevOps割裂使得安全赋能受限无法发挥其最大效力的问题,提出从模式架构和流程出发,以IAST为契机探索将整体安全能力运用其中的方式,构建安全能力一体化的解决思路,试验结果表明新的融合模式能够帮助提升开发安全能力,达到安全左移目标,体现安全整体能力价值,实现通过融入DevOps贴近业务的目标。
中圖分類號:TP311
文獻標識碼:A
DOI:10.19358/j.issn.2097-1788.2023.06.010
引用格式:朱嶷東,黃施宇,薛質,等.IAST在金融業(yè)DevOps中的融合應用探索[J].網絡安全與數據治理,2023,42(6):60-65.
Exploration of the integration application of IAST in DevOps for the financial industry
Zhu Yidong1,2,Huang Shiyu1,Xue Zhi2,Wang Hongtao1,Liu Hong1,Li Wenqing3
(1Sinolink Securities Co.,Ltd., Shanghai 201204, China; 2School of Cyber Science and Engineering, Shanghai Jiao Tong University, Shanghai 200240, China; 3Shanghai Pudong Development Bank Co.,Ltd.,Shanghai 200120,China)
Abstract: The application of the DevOps model has strengthened the ability to support rapid business development in the digital transformation of the financial industry, and addressing the various security risks arising from this model has become an industry consensus. Considering the challenges posed by the disconnection between traditional security tools and capabilities and DevOps, which limits the maximization of security enablement, this study proposes an integrated approach to address these challenges. By focusing on the model architecture and processes, and leveraging Interactive Application Security Testing (IAST) as an opportunity, the study explores the application of comprehensive security capabilities within the context of DevOps. The construction of an integrated security solution is proposed, and experimental results demonstrate that the new security fusion model can effectively enhance development security capabilities, achieving the goal of security shiftleft, reflecting the value of overall security capabilities, and realizing the objective of closely aligning with business operations through integration with DevOps.
Key words : Interactive Application Security Testing(IAST); DevOps; software security development; vulnerability detection;vulnerability management;financial industry

0     引言

汲取了敏捷開發(fā)和精益生產思想方法的以文化、實踐、工具為核心的DevOps理念組合,通過將計劃、集成、發(fā)布、運維、質量、安全、協作、改進八大能力凝聚為統(tǒng)一整體,從而提供持續(xù)集成、持續(xù)部署、持續(xù)交付的服務,實現高頻、高速、高超的穩(wěn)定產品,解決了各部門之間的矛盾,愈發(fā)受到金融機構的青睞。例如,工商銀行通過制定涵蓋DevOps需求、研發(fā)、投產、生產運營等流程的全生命周期研發(fā)運營一體化機制,縮短了需求研發(fā)周期,提高了月均發(fā)布頻度,提升了投產效率,增強了研發(fā)供給能力;人保壽險通過分布式平臺的建設以及 DevOps 的使用,實現了降本增效和項目按時交付;博時基金通過DevOps 統(tǒng)一研發(fā)平臺解決了研發(fā)中的代碼分支管理、環(huán)境獲取、 微服務化、持續(xù)交付等突出難題,實現了DevOps 轉型。

在金融科技數字化轉型中,DevOps實現模式各有千秋,其理念和目標卻殊途同歸,如何將安全能力融入DevOps中,實現開發(fā)、測試、運維、安全協同發(fā)展為一體的全能結構成為行業(yè)難題。傳統(tǒng)的上線前滲透測試、漏洞掃描的方式存在介入程度低、時效滯后、返工往復的問題,已難以融入DevOps中,所以需要引入新的技術方法提升安全左移的能力和擴展開發(fā)安全的邊界。李深等認為傳統(tǒng)的安全技術如漏洞掃描、入侵檢測等都應當以適應 DevOps 流水線為目的進行改造和運用;王洪濤等認為在開發(fā)左移中應當加大安全測試力度,使用自動化測試、精準測試等新工具和新方法提質增效;潘莉等認為應當將威脅建模工具、安全編碼工具、安全測試工具等與CI/CD平臺進行集成從而實現軟件的保速保質保量交付。顯而易見,引入新的安全檢測技術方式融合DevOps已成為行業(yè)共識。



本文詳細內容請下載:http://m.ihrv.cn/resource/share/2000005375




作者信息:

朱嶷東1,2,黃施宇1,薛質2,王洪濤1,劉宏1,李文清3

(1.國金證券股份有限公司,上海201204;2.上海交通大學 網絡空間安全學院,上海200240;3.上海浦東發(fā)展銀行,上海200120 )


微信圖片_20210517164139.jpg

此內容為AET網站原創(chuàng),未經授權禁止轉載。

相關內容