Embed Size (px)
Citation preview
叡揚資安 Solution Day
╴防範勝於治療、從根本提升資安防禦力- 安全軟體開發生命週期的持續整合與部屬平台
報告人:陳志雄
日 期:2017.08.17
1
大綱
■ 資訊安全防禦架構
■ 軟體發展生命週期的演進與趨勢
■ 叡揚軟體發展生命週期解決方案
■ Demo
■ 結論
2
資訊安全防禦架構
3
資訊安全防禦架構
4
資安部署戰略地圖
5
事前 事發事後
外部安全防護
內部 IT 環境
稽核
金鑰管理
叡揚資訊價值
6
■ 如何降低軟體成本
■ 如何提高軟體價值
■ 如何提升叡揚顧問服務價值
■ 分享軟體品質管理支援與經驗
■ 整合開發/品管/維運支援與經驗
■ 如何創造叡揚軟體專業價值
■ 整合商用與開源軟體
■ 整合企業與雲端資源
Gartner 如何說
7
■ DevOps is the fourth most searched term on
gartner.com
■ the target platform will become a hybrid cloud that
includes a growing percentage of public cloud
叡揚資訊
8
計畫
開發
建置
測試
釋出
佈署
營運
監控
Dev Ops
應用系統優化平台—服務面
9
Auto Build自動建置
源碼安全知識管理
Auto Deploy自動部署
Auto Testing自動測試
Plan計畫階段
Code 系統開發
Build建置階段
Test測試階段
Operate營運階段
版本控管工具SVN/GIT/TFS
建置工具Jenkins
源碼檢測工具SCA & OSS
壓測工具JmeterSilker
需求管理系統
系統效能監控dynaTrace
應用系統安全與效能優化平台
與需求單管理整合
Auto Scan自動源碼檢測
系統安全與效能問題自動監控
應用系統生命周期
支援工具
版本管理
Deploy佈署階段
Monitor監控階段
Issue Tracking
問題管理整合管理
Portal儀錶板
KM工具Vital ESP
軟體發展生命週期的演進與趨勢
10
ISO 9126 Software Quality Assurance
11
Quality
Functionality
Usability
Portability
Maintainability
Reliability
Efficiency
Performance Testing (Stress Testing)
System TestingFunctional TestingSecurity Testing
Various TestEnvironments
Code Review (Complexity, Dependency, etc.)
Quick recap-Waterfall, Agile, Lean, Scrum, DevOps
12
Lean ValueValue streamFlowPullPerfection
ScrumFocusCourageOpennessCommitmentRespect
value drivenplan driven
Waterfall Agile Individuals and interactionsWorking softwareCustomer CollaborationResponding to change
DevOps: Highly Automating Loop
13
http://blog.appdynamics.com/
#Dynatrace14
#Dynatrace
開發單位
• 源碼版本
• 源碼品質
• 單元測試
• 系統整合
檢驗單位
• 源碼品質
• 功能測試
• 安全測試
• 效能測試
維運單位
• 程式上版
• 系統監控
• 服務水準
• 事件回應
15
持續整合 持續檢測 持續派送 持續監控
變更管理 建構管理 問題管理
應用系統持續強化平台
#Dynatrace16
專案管理 程式開發 程式碼管理 自動編譯 程式分析 自動測試 自動部署 監控與回饋
GSSDLC ALM自動化協同運作管理平台
整合既有流程
整合既有需求單系統
TFVC
SVN
IBM RTC
Test
Management
Unit Test
Func. Test
S S D L CG
Silk Test
Load Test
Silk Performer
Mobile App
OS
Web Server
DB
VM & Container
Coverage & Quality
Vulnerability
GSSSSDLC - DevSecOps( Secure Software Development Life Cycle )
JIRA
需求單系統GSS-PMIS
GSSDLC - 軟體發展生命週期解決方案- DEMO
17
GSSDLC - 安全發展應用系統
18
Design
Agile
Methodology
Requirement Management
Domain
Driven
Build
Test
Driven
Code Inspection
Continuous Integration
Test
Functional Testing
Security Testing
Performance Testing
Operate
Configuration Management
Vulnerability Management
Continuous Monitoring
Application Lifecycle Management
#Dynatrace
GSSDLC 核心功能概述(1)
•自動源碼檢測提升品質與安全
– 安全程式碼檢查 –
– 程式碼符合度檢查 -
– 單元測試及覆蓋率檢查 –
– 程式碼複雜度檢查 –
– 程式碼相似度檢查 –
•自動建置確保源碼完整及可用性
– 自動簽出源碼,建置執行碼
– 支援多版本控管系統 –
– 支援多種建置工具 –
– 支援遠程呼叫特定程式編譯環境之批次檔,進行建置
19
#Dynatrace
GSSDLC 核心功能概述(2)
•自動測試確保品質與效能
– 自動觸發測試工具測試腳本,進行測試並取回結果
– 收集每次測試結果,客製化產出單次及趨勢報告
– 預設支援 –
•自動部署確保成功部署最新版本執行碼
– 支援常見作業環境 –
– 支援檔案打包,上傳指定位置
– 部署失敗,回復前一版本
•自動上版管理
– 入庫簽核與自動上版權責分離
– 管理與檢視各應用系統專案各階段的執行內容與結果
– 完整稽核記錄
•自動追蹤管理(品質,安全,效能)
20
GSSDLC 案例
21
開發部門
QA部門
需求變更系統
版控系統測試平台
需求部門
源碼掃描
開發環境
需求變更系統
版控系統
源碼掃描
入庫申請
源碼弱點分析
正式營運環境
版控系統正式平台上版部署
入庫管制人員
入庫簽核
入庫審核人員
上版通知+差異分析
+
上版通知自動上版系統
Jenkin
s
效能分析
APP 管理
APP 保護
#Dynatrace
GSSDLC流程與權責劃分
上版前置工作
需求單系統
待上版 待簽核 緊急入庫 待入庫 待結案
[經辦]
版控系統
源碼檢測系統
壓力測試系統
[測試覆核人][經辦]
[協理] [科長]
[測試覆核人] [控管人員]
[管控科長]
建置系統
部署系統
管理作業
需求單歷程報表
申請人歷程報表
22
GSSDLCSecurity Software Development Lifecycle Platform
23
專案任務範本設計
24
GSSDLC for SCA & OSS
Jenkins自動整合平台
需求變更
介接差異分析 源碼檢測 自動測試 自動建置 自動部署
IBM Notes
GSS-CIA
Compare
自動上版平台
需求變更系統
25
源碼檢測
白箱檢測
開源碼授權/檢測
黑箱檢測
衝擊分析
GSSDLC for SCA(衝擊分析)
26
受影響程式
GSSDLC for SCA
27受影響程式
GSSDLC for APP
Jenkins自動整合平台
需求變更
介接差異分析 源碼檢測 自動測試 自動建置 自動部署
IBM Notes
Compare It
自動上版平台
需求變更系統
28
保護前後驗證比較
發布前後自動程序
GSSDLC for APM
Jenkins自動整合平台
需求變更
介接差異分析 源碼檢測 自動測試 自動建置 自動部署
IBM Notes
Compare It
自動上版平台
需求變更系統
30
功能測試
壓力測試
營運監控
GSSDLC for dynatrace
31
1.個別單元和Web測試
2.收集/分析每個測試的各個維度(包括性能)數據 3.確定執行路徑
GSSDLC for dynatrace(效能與營運)
結論
33
結論
■ DevOps 與 DevOps toolchain 是IT趨勢
■ 自動化持續整合是DevOps的核心
■ 自動化持續整合提升軟體交付頻率與品質
■ 叡揚以自動化持續整合實務經驗服務客戶
■ Security、Security、Security: 別讓一切辛苦變成白搭
34
GSSSDLC - SecDevOps
