传统行业DevSecOps的实践

数据驱动De

vOps和安全的碰撞：传统行业De

vS

e

cOps的实践全球De

vOps数据Base

:

237

De

vOps

prossource

:

Forre

s

te

r’s

Q1

Global

De

vOps

Be

nchmark

Online

Surve

y已经实现了13%正在实现以及扩容50%准备12个月之内实现27%感兴趣但是12个月之内不会实现9%不感兴趣1%2018世界500强实现DevOps调查DevOps多复杂⋯⋯?VCS源码管理工具10

%38

%17

%28

%CI持续集成工具52

%18

%12

%10

%90

%80

%70

%60

%50

%40

%30

%20

%10

%0

%全球二进制使用情况包管理工具80

%在用Kube

rne

te

s20

%还没用Kube

rne

te

s95

%非生产环境5

%生产环境用Kub

e

rnetes使用情况建立De

vOps团队最佳实践组织结构考虑：在哪放我的DevOps团队？组织结构考虑：在哪放我的DevOps团队？Is

it⋯Me

ta

da

ta

holds

the

a

ns

we

r!Big

que

s

tions

to

a

s

k

-confus

e

d

pplQue

s

tion

ma

rkDa

ta

is

the

a

ns

we

r!!-

S

e

cure

?安全-?Fa

s

t?兼容性？测过？微服务依赖?自动化?Compa

tible

?Te

s

te

d?LSciuenpspeo合rt规ed性??Lice

ns

e

d?Expe

cte

d?元数据?但我的二进制？DevOps来了其实，只要有plan（及有远见的领导）幵不复杂Ansible落地DevOps第一步：选择适合你的工具KubernetesSaltShe

ll落地DevOps第二部：收集DevOps元数据，评估研发效率需求提交者、分支交付件、依赖关系和环境信息测试关键信息部署关键信息12345落地DevOps第二部：收集DevOps元数据，评估研发效率落地DevOps第二部：收集DevOps元数据，评估研发效率落地DevOps第三步：落地内部容器化Kube

rnetes生态Google

Kube

rnetes

Engine

(GKE)Azure

Containe

r

Service

(AKS)Canonical

Distributionof

Kube

rnetesSUSE

CaaS

PlatformEnterprise

Kube

rnetesMesosphere

DC/OSRed

Hat

OpenShiftRed

Hat

Tectonic落地DevOps第三步：落地内部容器化Is

it⋯S

e

cure

?Fa

s

t?Compa

tible

?Te

s

te

d?S

upporte

d?Lice

ns

e

d?Expe

cte

d?Me

ta

da

ta

holds

the

a

ns

we

r!Big

que

s

tions

to

a

s

k

-confus

e

d

pplQue

s

tion

ma

rkDa

ta

is

the

a

ns

we

r!!Uh

Oh！可怕的时刻来了你的应用你的应用你的应用你的代码我们的代码占有<0.1%14%的NPM包有漏洞30%的Docker

Hub镜像有漏洞59%的已知Maven漏洞包还没有修复MTTR

（平均修复时间）290天CVSS

10:265天我们80%的用户已经找到漏洞了Is

it⋯S

e

cure

?Fa

s

t?Compa

tible

?Te

s

te

d?S

upporte

d?Lice

ns

e

d?Expe

cte

d?Me

ta

da

ta

holds

the

a

ns

we

r!Big

que

s

tions

to

a

s

k

-confus

e

d

pplQue

s

tion

ma

rkDa

ta

is

the

a

ns

we

r!!那我怎么确保我上线的应用没有漏洞呢？Commit构建镜像／Helm

Chart安全扫描上传包及元数据到Artifactory制品库上线部署监控测试（自动化／手动）让漏洞扫描作为应用上线的质量关卡Commit构建镜像／Helm

Chart安全扫描上传包及元数据到Artifactory制品库上线部署监控测试（自动化／手动）让漏洞扫描作为应用上线的质量关卡让漏洞扫描作为应用上线的质量关卡上传构建扫描构建扫描构建扫描告警构建失败构建失败Is

it⋯S

e

cure

?Fa

s

t?Compa

tible

?Te

s

te

d?S

upporte

d?Lice

ns

e

d?Expe

cte

d?Me

ta

da

ta

holds

the

a

ns

we

r!Big

que

s

tions

to

a

s

k

-confus

e

d

pplQue

s

tion

ma

rkDa

ta

is

the

a

ns

we

r!!我有漏洞，怎么知道它的影响范围呢？深入依赖管理深入依赖管理+修复建议世界500强的DevOps落地故事煉

美国最大的数字化银行之一煉

成立

2

0

年时间煉

数百万的账户煉

2

0

1

6

年净利息收入

2

0

8

.

7

3

亿美元Ca

pitalOneCa

pitalOneCa

pitalOne国内银行A煉全国2

0

0

0+研发煉所有研发团队都通过一个p

o

r

t

a

l上线煉统一代码扫描，测试规范国内银行A金融单位A进行第三方漏洞扫描外网依赖JFrog

？公司介绍●2

0

0

8成立，2

0

1

6年进入中国市场●世界领先的De

v

Ops平台–CI/CD软件生命周期管理●开源版：1

2万个企业用户●地点：硅谷，以色列，法国，中国北京市●4

0

0