0     引言

汲取了敏捷開發(fā)和精益生產(chǎn)思想方法的以文化、實(shí)踐、工具為核心的DevOps理念組合，通過將計劃、集成、發(fā)布、運(yùn)維、質(zhì)量、安全、協(xié)作、改進(jìn)八大能力凝聚為統(tǒng)一整體，從而提供持續(xù)集成、持續(xù)部署、持續(xù)交付的服務(wù)，實(shí)現(xiàn)高頻、高速、高超的穩(wěn)定產(chǎn)品，解決了各部門之間的矛盾，愈發(fā)受到金融機(jī)構(gòu)的青睞。例如，工商銀行通過制定涵蓋DevOps需求、研發(fā)、投產(chǎn)、生產(chǎn)運(yùn)營等流程的全生命周期研發(fā)運(yùn)營一體化機(jī)制，縮短了需求研發(fā)周期，提高了月均發(fā)布頻度，提升了投產(chǎn)效率，增強(qiáng)了研發(fā)供給能力；人保壽險通過分布式平臺的建設(shè)以及 DevOps 的使用，實(shí)現(xiàn)了降本增效和項(xiàng)目按時交付；博時基金通過DevOps 統(tǒng)一研發(fā)平臺解決了研發(fā)中的代碼分支管理、環(huán)境獲取、 微服務(wù)化、持續(xù)交付等突出難題，實(shí)現(xiàn)了DevOps 轉(zhuǎn)型。

在金融科技數(shù)字化轉(zhuǎn)型中，DevOps實(shí)現(xiàn)模式各有千秋，其理念和目標(biāo)卻殊途同歸，如何將安全能力融入DevOps中，實(shí)現(xiàn)開發(fā)、測試、運(yùn)維、安全協(xié)同發(fā)展為一體的全能結(jié)構(gòu)成為行業(yè)難題。傳統(tǒng)的上線前滲透測試、漏洞掃描的方式存在介入程度低、時效滯后、返工往復(fù)的問題，已難以融入DevOps中，所以需要引入新的技術(shù)方法提升安全左移的能力和擴(kuò)展開發(fā)安全的邊界。李深等認(rèn)為傳統(tǒng)的安全技術(shù)如漏洞掃描、入侵檢測等都應(yīng)當(dāng)以適應(yīng) DevOps 流水線為目的進(jìn)行改造和運(yùn)用；王洪濤等認(rèn)為在開發(fā)左移中應(yīng)當(dāng)加大安全測試力度，使用自動化測試、精準(zhǔn)測試等新工具和新方法提質(zhì)增效；潘莉等認(rèn)為應(yīng)當(dāng)將威脅建模工具、安全編碼工具、安全測試工具等與CI/CD平臺進(jìn)行集成從而實(shí)現(xiàn)軟件的保速保質(zhì)保量交付。顯而易見，引入新的安全檢測技術(shù)方式融合DevOps已成為行業(yè)共識。

本文詳細(xì)內(nèi)容請下載：http://m.viuna.cn/resource/share/2000005375

作者信息：

朱嶷東1,2，黃施宇1，薛質(zhì)2，王洪濤1，劉宏1，李文清3

（1.國金證券股份有限公司,上海201204；2.上海交通大學(xué) 網(wǎng)絡(luò)空間安全學(xué)院，上海200240；3.上海浦東發(fā)展銀行,上海200120 ）