王黎明 |
汇丰科技 DevOps Engineer,投行部交付经理
目前担任外汇主经纪平台交付经理。法国图卢兹第三大学计算机系统设计硕士,持有PMP和CSM认证,拥有多年金融领域大型系统的开发及管理经验。熟悉主流敏捷与DevOps方法及工具,对SecOps,AIOps,NetOps有一定的实战经验,热衷于自动化的理念。三年前带领团队开始DevOps技术转型,负责对客户需求端到端的快速交付及日常运维。
课程概要
背景介绍:
经过三年的devops旅程,汇丰外汇主经纪商平台从两个月一次部署到如今的一个月两百次左右的持续部署,快速的交付给业务部门带来了巨大的价值,但我们却发现在过去的一段时间我们对安全的关注有所欠缺,部门使用了大量的第三方开源库,却忽略了对它们的安全审查。另一方面作为一家银行,集团内部有繁琐的安全及软件交付审查流程,这又阻碍了系统的快速交付。例如服务器上存在大量的已知安全漏洞,因为繁琐的流程,服务器运维团队却没有足够的资源来打补丁。
解决思路/成功要点:
1) 在Jenkins CICD流水线加入静态代码及依赖库安全扫描
2) 集合OWASP ZAP跟Selenium,对网站定期进行自动扫描
3) 利用OWASP DEPENDENCY-CHECK对服务器上运行的所有微服务使用的第三方库进行定期扫描
4) 服务器漏洞扫描,由项目团队对非Cloud服务器三个月打一次补丁,对于内部Cloud服务器两个星期自动重装并安装最新补丁包
5) 工程师参加安全代码培训并举办竞赛活动,创建secops文化
成果:
1)代码质量明显提高,部署效率提升,团队工作量减少
2)通过左移安全漏洞扫描,能够更快更及时的修复已知漏洞
2)随着部门devsecops上的成功实践,集团开始自上而下推广devsecops
听众收益
1) 了解devsecops的基本理论知识
2) 熟悉secops常见的工具
3) 借鉴成功的devsecops落地实践经验
王黎明 |
汇丰科技 DevOps Engineer,投行部交付经理
目前担任外汇主经纪平台交付经理。法国图卢兹第三大学计算机系统设计硕士,持有PMP和CSM认证,拥有多年金融领域大型系统的开发及管理经验。熟悉主流敏捷与DevOps方法及工具,对SecOps,AIOps,NetOps有一定的实战经验,热衷于自动化的理念。三年前带领团队开始DevOps技术转型,负责对客户需求端到端的快速交付及日常运维。
课程概要
背景介绍:
经过三年的devops旅程,汇丰外汇主经纪商平台从两个月一次部署到如今的一个月两百次左右的持续部署,快速的交付给业务部门带来了巨大的价值,但我们却发现在过去的一段时间我们对安全的关注有所欠缺,部门使用了大量的第三方开源库,却忽略了对它们的安全审查。另一方面作为一家银行,集团内部有繁琐的安全及软件交付审查流程,这又阻碍了系统的快速交付。例如服务器上存在大量的已知安全漏洞,因为繁琐的流程,服务器运维团队却没有足够的资源来打补丁。
解决思路/成功要点:
1) 在Jenkins CICD流水线加入静态代码及依赖库安全扫描
2) 集合OWASP ZAP跟Selenium,对网站定期进行自动扫描
3) 利用OWASP DEPENDENCY-CHECK对服务器上运行的所有微服务使用的第三方库进行定期扫描
4) 服务器漏洞扫描,由项目团队对非Cloud服务器三个月打一次补丁,对于内部Cloud服务器两个星期自动重装并安装最新补丁包
5) 工程师参加安全代码培训并举办竞赛活动,创建secops文化
成果:
1)代码质量明显提高,部署效率提升,团队工作量减少
2)通过左移安全漏洞扫描,能够更快更及时的修复已知漏洞
2)随着部门devsecops上的成功实践,集团开始自上而下推广devsecops
听众收益
1) 了解devsecops的基本理论知识
2) 熟悉secops常见的工具
3) 借鉴成功的devsecops落地实践经验
