这部分都是云上的业务系统的安全建设情况。后面是我们在内部做运营开发时碰到的一些问题,以及目前采用的方法。Dev—SecOps的特点是敏捷快速,同时往往就忽略了安全的特性,因此360在内部这个过程当中把安全作为一个非常重要的因素把它嵌入到整个开发和运维的流程当中。Dev—SecOps的核心是把安全向左移动,以前软件上线之后,你发现可能会有bug和安全隐患,这都是在运行过程中发现的,于是就要花很多的时间和精力解决这些问题,这样的话就会花费很多Ops人员的时间和精力,我们希望能够把安全这件事提前到整个预警中去做。
我们内部做过一些测算,如果我们的开发人员能花5%—10%的精力提高安全预警代码的水平,整个Ops这块的工作压力尤其是安全这块的工作压力大概会下降50%以上甚至到80%左右,因此把它加入到Dev—SecOps过程中,看似增加了整个时间,但是从整个时间维度去看,它让开发生产的安全性提高了,而且总的时间成本是下降的。
Dev—SecOps主要是敏捷,我把安全度提高以后,怎么不降低敏捷性,因此我们做了一些自动化的开发工具,它都是自动触发的。比如说代码的提交阶段,研发人员一旦确定要提交代码之后,他把代码分包提交到我们的平台之后,就会自动触发测试这个动作。目前我们内部大概有将近60%左右的测试是完全可以自动化去完成的,因此在触动这个测试之后,60%的工作就在这上面自动完成了,剩下的40%还需要主动去做。
任何一家公司在做产品开发的时候,可能都离不开开源软件,离不开第三方软件系统。我们发现大部分的漏洞都是在开发过程中引入的,比如说前段时间发生的漏洞都是在开发过程中引入的。因此我们在用整个Dev—SecOps的过程中,相对来说我们也是受益者,如果用传统的安全方式去做的话,我们会发现真正你要去做排查的时候,大部分都是用人肉排查内部隐藏的漏洞。如果说在它上线之后,很有可能引入新的安全风险,反反复复做下来是很耽误时间的。目前我们用这种自动化的测试,用Dev—SecOps去做之后,其实我们会把控制点控制在每一次上线之前,也就是说在这个软件包上线的时候,它就会自动去做整个对软件包的测试。一旦发现这个软件包有漏洞的时候,上线系统就会自动阻止软件上线,降低运维阶段发生安全事件的风险,在整个运维生产和运行全生命周期提高我们整个生产效率。
我今天的内容大概就这些,谢谢大家!