DevOps环境下安全层面的监管控方案.docx
《DevOps环境下安全层面的监管控方案.docx》由会员分享,可在线阅读,更多相关《DevOps环境下安全层面的监管控方案.docx(4页珍藏版)》请在第一文库网上搜索。
1、DeVOPS环境下,不同厂商制品库安全层面如何做到监、管、控来自twt社区同行交流,欢迎更多同行参与交流代码制品库或容器镜像制品库安全性相关问题?中小型银行、应用系统大多以采购为主,不同厂商的产品在实施DeVOPS过程中,会形成不同的制品库,如自动化流水线生产的mvnjar,自动化生产的应用镜像等等。这里存在一个问题,就是安全性的相关问题。以往传统运维环节下,运维部门可以强行管控各类资源的版本,同时也会建设各种自动化统一操作平台。基于这些基础IT的版本管理和自动化运维平台,安全相关的问题都比较容易管控处理。比如说,统一的操作系统补丁升级、中间件补丁升级、版本管理、密码定期自动化更换、镜像底层安
2、全扫描啊等等。在DeVOPS推广后,一定程度上模糊了开发与运维的明显界限。传统运维层针对安全性的现有方案无法很好的适用于DevOps环境。比如说,各个厂商所带来的不同规格的制品库,其内容迥异,很难按照传统思路进行统一化的安全管控。这里的问题就是如何实现DeVOPS环境下,不同厂商制品库安全层面如何做到监、管、控。比方说:安全部门发布的一个开源jar的安全漏洞,如何实现制品库的自动扫描发现?问题来自社区会员wxid1某银行系统工程师28556259CMBC软件架构设计师:个人理解软件安全管控和工具没有绑定的关系,因为安全是硬性的,无论用什么工具都必须满足企业的安全要求,即使是传统运维还是DeVO
3、Ps。传统运维和DevOps的区别只是把安全和质量相关的规范,做成线上化的自动的。比方说:安全部门发布的一个开源jar的安全漏洞,如何实现制品库的自动扫描发现?这里要具体看是在开发端还是在生产端发现的,安全扫描手法也不一样,当然最好的办法是在构建时就拦截这些。1Chqq中原银行DeVoPS工程师:您的问题非常好,这也是中小银行的痛点问题。我觉得这可能属于一个更高层面一一“开源治理”的范畴,需要有一系列的管理和技术手段进行管控,不是一个工具、一个部门能够独立完成的。我觉得它至少包括下列3方面的内容:1、准入标准。建设完善的企业级开源软件安全评估与引入流程。2、安全管控。具备强大的开源组件安全管控
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- DevOps 环境 安全 层面 监管 方案