中国移动磐舟DevSecOps 平台云原生安全实践 刘斌 中国移动信息技术中心 01 磐舟DevSecOps平台概况 02 磐舟DevSecOps平台安全能力 03 磐舟DevSecOps实践总结 目 录 目录 CONTENT 磐舟DevSecOps平台定位 基于云原生打造一站式DevSecOps平台，致力于解决企业在数字化转型中的研发效能提升问题，提供从 “需求-开发-测试 • 沉淀IT软件资产，核心代码掌控 • 提升开发交付效率 一键 上磐基 构建 打包 容器 化镜 像 自动化 部署 研发安 全扫描 需求 设计 敏捷 开发交付协同 云原生DevSecOps 安全工具链 国产化 双平面调度 敏捷开 发过程 统一代 码仓库 依赖制 品仓库 统一 镜像库 云原生 验证环境 磐基 生产运行 核心价值 核心能力 灵活的低代码能力 1，00000000000 系统 国家 稳定 发展 健康 财富 安全 创新 安全的重要性 01 磐舟DevSecOps平台概况 02 磐舟DevSecOps平台安全能力 03 磐舟DevSecOps实践总结 目 录 目录 CONTENT 磐舟DevSecOps安全能力建设框架 安全开发 • • • 安全测试 • • • 安全管控 • • • 安全运营 • •

©2019 VMware, Inc. 21 安全團隊的角色十分重要! 更應該從一開始設計時就加入 企業所有團隊的思維都需要從DevOps進化為DevSecOps ​方法論: DevOps  DevSecOps ​DevSecOps的指導原則: • 團隊/社群而非個人 (Team/Community, not a person) • (自動化與自主性安全 (Automated 的安全強化即使不敢稱完美，但確實也是相當值得參考的範本  您的開源 Kubernetes 環境當然可以按照優秀範本做 – 當然我們建議是讓 VMware 幫您做  最困難的部分是 3個P，最理想的境界是DevSecOps，這個實在沒有辦法單靠產品了... Key Take-Aways 總結 ©2019 VMware, Inc. 23 ©2019 VMware, Inc. Thank You!

标准化能力-承载无忧-E2E云原生纵深安全保障DevSecOps-1 Applications Data Runtime Middleware OS Virtualization Servers Storage NetWorking PaaS 硬件与虚拟化厂商提供，如果是HCI架构， 作为总体集成方，会降低安全集成成本 可信计算环境：OS安全、TPM加密、TEE可信环境 环境 云原生安全：镜像安全、镜像仓库安全、容器加固隔离、通信零信任 (Istio零信任、Calico零信任、Cilium零信任、WorkLoad鉴权、WorkLoad 间授权等)、DevSecOps（安全左右移等等，比如代码或者镜像扫描）、 RASP应用安全、数据安全、态势感知与风险隔离 由于云原生托管的应用是碎片化的，环境变化也是碎片化的，而且其业务类型越来越多，比如已经延展到边 缘计算盒子 以交于线上安全防御系统。提高了整体实施 效率！ 安全编排自动化和响应作为连接各个环 节的桥梁，安全管理人员或者部分由 AIOps组件可以从全局视角观察，动态 调整策略，解决新问题并及时隔离或者 解决！ DevSecOps 标准化能力-承载无忧-E2E云原生纵深安全保障-4-技术建议方案 技术 说明 优点 缺点 SAST(静态应用程序 安全测试) 白盒测试，通过污点跟踪对源代码或者二进制程序（也包括Docker镜像等）

VMware 数据解决方案 - 产品概述 © 在数据如此分散的情况下，企业如何能加速增长和扩大规模？ 分布的数据 客户 分布式工作团队 分布式应用 分布式的 “云”计算基础设施 © DevSecOps Transformation • 对于开发部门来说， 更快、更频繁地将 代码持续交付到生 产环境平台和实践 中，进行快速的迭 代和更新 Infrastructure Transformation Transformation • 通过在现代基础设 施的安全组件，增 强平台的安全弹性 来帮助客户维持业 务连续性 Data Transformation 企业如何定位未来架构 © DevSecOps Transformation • 对于开发部门来说， 更快、更频繁地将 代码持续交付到生 产环境平台和实践 中，进行快速的迭 代和更新 Application Transformation

•去中心化，稳定性和可用性增强； •更高效的代码协同机制； •典型产品：GitHub、GitLab、 Gitea。 分布式代码管理 基于 Git 的分布式 代码托管 具备 DevSecOps 延伸能力 Gitea 是谁？ • 2016 年 11 月 fork 自 gogs，开始独立发展； • 基于 MIT 开源协议； • 贡献者累计超过 1000 人； • 安装基数约 40 累计超过 3 亿次。 注：GitHub Star 数量统计截至 2023 年 11 月。 Star 39,000+ 接近 GitHub 使用体验、可私有化部署的新一代的代码托管平台 DevSecOps 延伸能力 CI / CD 包/发布管理 依赖项扫描 百科管理 项目管理 其他能力… 合并请求 代码审查 分支管理 代码仓库 Git代码托管 核心能力 新一代的代码托管平台

化到云原生化 三个阶段。在云化阶段，云主机是云计算的核心负载之一，云主机安全是云安全 的核心；在云原生阶段，容器和无服务器计算成为核心工作负载，容器安全、 Serverless 安全、DevSecOps 成为云安全的核心。自开源 Docker 容器和 k8s 编排引擎出现以来，云原生生态不断扩大。当前，云原生作为云计算深入发展的 产物，已经开始在 5G、人工智能、大数据等各个技术领域得到广泛应用。云原 维象限中列举安全机制（蓝色标注部分）已经基本覆盖全生命周期的云原生安全 能力。此外，DevSecOps 涉及的能力范围几乎覆盖了横轴和纵轴的各个阶段， 如图中的紫色部分。最后，云原生安全体系中还包括了一些通用技术能力（黄色 部分），这一部分能力主要体现在检测和响应阶段，并会同时覆盖 DevSecOps 中运营阶段的能力。 云原生安全威胁分析与能力建设白皮书 13 图 3 云原生安全框架

Bill Of Material）是云原生时代应用风险治理的基础设施。 特点： • 是治理第三方组件风险（开源+闭源）的必备工具； • 可深度融合于DevOps应用生产模式； • 可与多种DevSecOps工具链联动强化效能（SCA、RASP、漏洞情报）； • 在云原生应用的开发端及运营端均发挥作用。 实践现状 SBOM的应用现状 • 根据《Anchore 2022 软件供应链安全报告》，尽管

的全方位云原生安全产品；Trend Micro 在容器 防护、API 安全等领域推出了 Cloud One、Deep Security 等产品； Fortinet 推出整套云原生保护策略，包含云原生安全态势管理、 DevSecOps、云原生防火墙等。初创安全厂商 Lacework 凭借其在云 原生应用保护、容器安全等领域的云原生安全产品，已获得近 20 亿 美元风险投资。此外，在素有“全球网络风向标”之称的 RSAC

、 组件的丰富化、开源社区的活跃以及开发成本的降低等诸多原因，使得一个项目中纯 自己写的代码占整个项目中全部代码的比例变得越来越低了。也就意味着供应链问题 产生的影响会越来越大，随着 DevSecOps 的火爆，就重新带火了 SCA 这一传统的 技术。 根据很多企业内部的实践，以及业界对于 SCA 技术的理解，我们认为 SCA 比较核 心的功能主要包括以下几点： ● 软件资产的透视 CA 如果 想做到足够有效，需要覆盖从软件开发到上线的所有环节，包括代码完整性、流程完 整性和基线巡检功能，这些都需要 SCA 的核心能力。 除了 SCA 提供的风险透视能力，在整个 DevSecOps 环节，安全团队、质量效率团 队、运维团队和业务团队需要非常默契地进行配合，大家各司其职，共同解决研发方 面的风险。这其中，安全团队能够提供的，除了风险数据和修复建议之外，还需要提 供一