文獻(xiàn)標(biāo)識(shí)碼:A
DOI:10.19358/j.issn.2097-1788.2023.06.010
引用格式:朱嶷東,,黃施宇,,薛質(zhì),等.IAST在金融業(yè)DevOps中的融合應(yīng)用探索[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理,,2023,,42(6):60-65.
0 引言
汲取了敏捷開(kāi)發(fā)和精益生產(chǎn)思想方法的以文化,、實(shí)踐、工具為核心的DevOps理念組合,,通過(guò)將計(jì)劃,、集成、發(fā)布,、運(yùn)維,、質(zhì)量,、安全、協(xié)作,、改進(jìn)八大能力凝聚為統(tǒng)一整體,,從而提供持續(xù)集成、持續(xù)部署,、持續(xù)交付的服務(wù),,實(shí)現(xiàn)高頻、高速,、高超的穩(wěn)定產(chǎn)品,解決了各部門之間的矛盾,,愈發(fā)受到金融機(jī)構(gòu)的青睞,。例如,工商銀行通過(guò)制定涵蓋DevOps需求,、研發(fā),、投產(chǎn)、生產(chǎn)運(yùn)營(yíng)等流程的全生命周期研發(fā)運(yùn)營(yíng)一體化機(jī)制,,縮短了需求研發(fā)周期,,提高了月均發(fā)布頻度,提升了投產(chǎn)效率,,增強(qiáng)了研發(fā)供給能力,;人保壽險(xiǎn)通過(guò)分布式平臺(tái)的建設(shè)以及 DevOps 的使用,實(shí)現(xiàn)了降本增效和項(xiàng)目按時(shí)交付,;博時(shí)基金通過(guò)DevOps 統(tǒng)一研發(fā)平臺(tái)解決了研發(fā)中的代碼分支管理,、環(huán)境獲取、 微服務(wù)化,、持續(xù)交付等突出難題,,實(shí)現(xiàn)了DevOps 轉(zhuǎn)型。
在金融科技數(shù)字化轉(zhuǎn)型中,,DevOps實(shí)現(xiàn)模式各有千秋,,其理念和目標(biāo)卻殊途同歸,如何將安全能力融入DevOps中,,實(shí)現(xiàn)開(kāi)發(fā),、測(cè)試、運(yùn)維,、安全協(xié)同發(fā)展為一體的全能結(jié)構(gòu)成為行業(yè)難題,。傳統(tǒng)的上線前滲透測(cè)試、漏洞掃描的方式存在介入程度低,、時(shí)效滯后,、返工往復(fù)的問(wèn)題,,已難以融入DevOps中,所以需要引入新的技術(shù)方法提升安全左移的能力和擴(kuò)展開(kāi)發(fā)安全的邊界,。李深等認(rèn)為傳統(tǒng)的安全技術(shù)如漏洞掃描,、入侵檢測(cè)等都應(yīng)當(dāng)以適應(yīng) DevOps 流水線為目的進(jìn)行改造和運(yùn)用;王洪濤等認(rèn)為在開(kāi)發(fā)左移中應(yīng)當(dāng)加大安全測(cè)試力度,,使用自動(dòng)化測(cè)試,、精準(zhǔn)測(cè)試等新工具和新方法提質(zhì)增效;潘莉等認(rèn)為應(yīng)當(dāng)將威脅建模工具,、安全編碼工具,、安全測(cè)試工具等與CI/CD平臺(tái)進(jìn)行集成從而實(shí)現(xiàn)軟件的保速保質(zhì)保量交付。顯而易見(jiàn),,引入新的安全檢測(cè)技術(shù)方式融合DevOps已成為行業(yè)共識(shí),。
本文詳細(xì)內(nèi)容請(qǐng)下載:http://forexkbc.com/resource/share/2000005375
作者信息:
朱嶷東1,2,黃施宇1,,薛質(zhì)2,,王洪濤1,劉宏1,,李文清3
(1.國(guó)金證券股份有限公司,上海201204,;2.上海交通大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院,上海200240,;3.上海浦東發(fā)展銀行,上海200120 )