上篇 | DevSecOPs在金融机构的落地实践

大家好，我是哒佬

金融行业面临的安全挑战

随着互联网技术的不断创新发展，越来越多的行业通过互联网为客户提供服务，其中互联网金融已成为金融行业发展的热点。同时，由于其特殊性，金融行业一直都是网络犯罪的主要目标，也是我国网络安全的重点行业。

合规。合规是金融企业的底线，其各项业务开展以及IT发展，必须遵守各项管理规定。随着《网络安全法》的正式施行，国家对保护公民个人信息等权益的重视，已经上升到新的高度。

 

内外部威胁。一直以来，金融行业都面临着境外黑客组织的高级持续威胁（APT）的对象。攻击者利用行业软件与供应链安全等影响面广的问题或漏洞，入侵系统获取公民信息或其他金融信息，造成巨额损失和市场声誉风险。据IBM的《2020年数据泄露成本报告》，金融服务行业数据泄露的平均成本为585万美元，而所有行业受访者的平均成本为386万美元。

 

IT成熟度相对低。据《证券经营机构信息系统生命周期安全管理现状调研报告2017》显示，56%的证券经营机构，自研比例在10%以下。自有IT研发人员少，依靠大量外购或外包人员，IT软件成熟度较低。从攻击面资产管理还大量依靠文本工具管理方式，也可以看出安全成熟度更低。

 

安全人才缺乏。从证券经营机构安全管理来看，多数公司的专职安全人员只有1-3人，日常工作主要承担防火墙、安全检测、补丁管理等较为传统的安全工作。随着近年对安全的越发重视，经营机构开始成立独立的安全团队，但随着IT技术部门人员的扩张，安全团队人员占比却持续降低。

DevOps转型及遇到的挑战

技术在不断发展，软件开发模式也在不断变化，从传统的瀑布式到敏捷(Agile)、精益(Lean)，越来越多的公司开始采用DevOps。中国信通院发布的《中国DevOps现状调查报告（2020年）》显示，采用DevOps实践获得了研发效率、交付速度的极大提升。

从2017年开始，经营机构全面向敏捷及DevOps转型，DevOps平台也在同步自研中，目前已具备相对完善的功能，大量项目在逐步迁移至DevOps平台。DevOps的转型快速提升了软件开发的速度和质量，但传统的安全运营模式却在严重影响产品交付速度和系统上线周期。最后，在业务的压力下，很多应用未进行安全测试就上线，带来了巨大的安全风险。

但Gartner在2015年数据中心和信息安全峰会的调研报告显示，安全已经成为IT DevOps发展的阻碍。经过调研，安全人员和研发人员都认为，安全降低了IT对于业务需求的响应速度。因此安全必须要积极转型，以适应DevOPs全新的开发过程。

在此趋势下，DevSecOps诞生了，DevSecOps的出现是为了改变和优化之前安全工作的一些现状，比如安全测试的孤立性、滞后性等问题，通过固化流程、加强不同人员协作，通过工具、技术手段将可以自动化、重复性的安全工作融入到研发体系内，让安全及合规作为属性嵌入到DevOps开发运营一体化中，在保证业务快速交付的同时实现安全内建（BUILDSECURITY IN），降低IT安全风险。