平安银行的分享主题为《管理治理联动,助力安全风险管控能力提升》,演讲分享了平安银行基于统一DevOps平台——Starlink进行的DevSecOps体系落地实践经验。
在Starlink平台建立的全行统一、覆盖软件价值交付全生命周期的DevOps体系之上,通过 “运动式检查转为长效化管控”“从被动治理转为主动发现”“多方协同,将管理、治理相结合”整体管理思路,平安银行拓宽了安全风险管理的范围,从SDLC的思维模式转变为全生命周期的广义应用安全管控体系,有效落地实践了DevSecOps。
具体提升如下:
1.体系化:提升了安全工作的覆盖面及安全运营效率,从针对重要应用的安全运营工作转变为对全部应用的体系化安全管控,无论是外部还是内部应用皆在安全运营范围内。
2.标准化:安全管控线上化标准化,在与测试及发布工具联动后,从依赖“人工版本把控”转变为依靠“系统判断”进行版本安全的管控。
3.流程化:从传统应用安全管控的角度转变为广义安全管控的角度,只要涉及研发流程,皆可通过这个模式来实现“要求—检查—管控”的整改落地(也可解决安全以外的研发整改问题),各类研发的整改皆可通过各类检查 + 跟进闭环 + 版本管控 来实现“消化存量、管控增量”的目的,这个是非常重要的。
4.有效度量反馈:体系化提升,通过检查阶段的结果,反溯研发过程,给出各部门排名,从管理手段上提升研发同事的安全能力,安全更加可控。
若有收获,就点个赞吧
0 人点赞
