聂万泉:DevSecOps,让安全为业务赋能|2018中国IT价值峰会

2018年8月14日

        从信息化、数字化、到智能化,不能否认的一个事实是,科技已成为企业在社会丛林中披荆斩棘的利刃。谁缺失了这把武器,谁就不可能走得长远。

11.jpg

     8月10日-12日,由IT Value和钛媒体集团联合举办的年度盛会—— IT价值峰会在三亚隆重开启。此次峰会以“复盘重构”为主题,依然专注于技术,回归技术本身,共同梳理技术发展所带来的挑战和机会。数百位国内外顶级的技术高管和企业级商业领袖悉数登场,共同回顾过去10年的科技和商业环境、以及那些发生过的天翻地覆的变化,探讨利用新的认知和技术去构建新的未来。

12.jpg

     带着“企业DevSecOps实践”,默安科技联合创始人兼CEO聂万泉应邀出席企业级尖货市场环节。该环节是一场黑科技的创意市集,展示通过各条靠谱渠道推荐而来的重度垂直创新公司的领先解决方案。

     DevSecOps在国外被谈论得比较多,国内很多企业也在做DevSecOps,整个过程中有很多运营开发测试人员,但很少提到安全人员,安全质量控制没有被考虑进去。随着业务的迭代效率加快,安全风险也加快地被暴露出来。安全的一个特点是,平时不太关注,但是一旦出事很可能就是一个大事情,甚至影响到整个公司的生死存亡。默安科技在推动的DevSecOps产品是希望企业在应用系统的快速迭代中将安全这一重要因素考虑进去。

13.jpg

      在当前的时代,数据作为生产资料,其价值已经越来越得到关注。随着网安法的出台,以及网信办、银监会等的相关要求,包括大家现在关注的GDPR,都对企业在对数据的收集、使用过程中的安全保障提出了更高的要求。为了减少业务系统数据泄露可能性以及保障数据的安全性、完整性以及可用性,做好业务系统的安全防范措施是非常必要的事情。

14.jpg

     一个业务系统的开发生命周期中,不同阶段修复安全漏洞的成本差距非常大,研发阶段和运行阶段的修复成本甚至能相差数百倍。

     在开发阶段发现个漏洞,找开发人员直接修复就行。成本是单倍。

     测试阶段发现问题,就得拉上运维、研发、测试、安全、产品等好几个部门来解决,还有一定沟通成本。成本可能是两倍。

     到了发布阶段,系统在线上检测出漏洞,需要安全人员给方案,和研发人员沟通,测试人员验证,还需要承受线上风险。成本可能是十倍。

     等系统真正上线后出问题了,可能对企业品牌造成无法挽回的损失,涉及业务部、产品、运营、市场、公关、开发、测试等多部门多环节……成本可能是百倍千倍,甚至无法衡量。

     如何有效避免系统上线后不再出现很多安全问题,聂万泉说到,中国有一句古话讲得挺好,叫上医治未病。安全问题就像生病一样,如果已经在发高烧,其实很难挽回,高明的医术应该是尽量把问题解决在萌芽状态。

15.jpg

      对于正在进行数字化转型的企业来说,将代码安全问题消除在系统上线之前是有着重要意义的。但如果想通过招聘非常专业的安全人员,来理解转型中的业务和各种变化,从而实现这一点,需要付出相当大的成本。今天正在进行数字化转型的企业,应该更多地考虑怎样将安全能力赋予现有的人员和现有的“流水线”。通过培训、需求分析与设计、研发、测试以及发布上线之后整个全链路的安全融入,帮助企业把这个过程中99%的安全风险规避掉,这也正是默安科技DevSecOps产品的核心价值。

      聂万泉表示,默安科技的DevSecOps产品其实是一个包含整个研发到上线流程的平台,通过它来发现和修复问题,并确认问题有没有得到解决,整个方案的核心就是赋能。通过帮助原来不具备安全能力的人获得一定的发现和解决安全问题的能力,使企业不需要找非常专业的人,就可以把很多的安全风险规避掉。

16.jpg

关于成功案例,目前默安科技的这套流程平台在泰隆银行、光大银行、宁波银行等金融行业应用得比较广泛,其他还包括一些大型能源企业、电信运营商、高精尖制造企业等。